2012年互联网安全威胁综合报告

2012年互联网安全威胁综合报告

安天实验室

2013年1月10日

目    录

摘要

第一章  2012年恶意程序统计与分析
  1.1  2012年与2011年捕获恶意程序样本数量对比
  1.2  2012年捕获各类恶意程序样本数量对比
  1.3  2012年与2011年捕获恶意程序样本分类数量对比
  1.4  2012年各类恶意程序分类数量统计
  1.5  2012年恶意程序样本按行为分类统计
  1.6  2012年捕获恶意程序家族数量统计
     1.6.1  2012年捕获恶意程序样本家族数量 TOP10 统计
     1.6.2  2012年新增恶意程序家族样本数量 TOP10 统计
  1.7  2012年恶意程序加壳数量和类型统计

第二章  2012年Web安全统计与分析
  2.1  2012年检测到的中国大陆挂马网站数量月度统计
  2.2  2012年检测到的中国大陆地区挂马网站按省份分布统计
  2.3  2012年检测到的中国大陆地区挂马网站按域名分布统计

第三章  2012年移动互联网恶意程序统计与分析
  3.1  2012年捕获移动互联网恶意程序数量月度统计
  3.2  2011年至2012年捕获移动互联网恶意程序数量对比

第四章  2012年安全事件摘要
  4.1  Flame安全事件
  4.2  利用JAVA漏洞的攻击事件增多
  4.3  DNS变色龙事件——DNSChanger恶意程序
  4.4  FreeBSD服务器遭入侵
  4.5  FBI、NASA等遭黑客攻击，一百六十万用户数据泄露
  4.6  Yahoo邮箱零日漏洞以700美元被售卖

第五章  2013年互联网安全趋势展望





摘要

安天实验室对2012年互联网安全威胁进行了统计与分析，把对互联网构成的威胁进行归纳并总结为以下三类：恶意程序的威胁、Web安全面临的威胁和移动互联网恶意程的威胁。

同时总结了2012年重要的安全事件以及2013年互联网信息安全趋势的展望。


第一章  2012年恶意程序统计与分析

1.1  2012年与2011年捕获恶意程序样本数量对比

2012年安天实验室共捕获样本9462576个，与2011年的11532980个同比下降近18%，如图1所示。

图1  2012年与2011年捕获恶意程序样本数量对比图

1.2  2012年捕获各类恶意程序样本数量对比

如图2所示，从2012年捕获到的各类恶意程序样本数量对比来看，木马数量占据首位，是病毒数量的2.4倍。病毒数量占据第二位，其他类型数量次之。

图2  2012年捕获恶意程序样本数量分布对比图

1.3  2012年与2011年捕获恶意程序样本分类数量对比

如图3所示，2012年捕获到的恶意程序样本分类数量分布与2011年大体相同。

图3  2012年与2011年捕获恶意程序样本分类数量对比

1.4  2012年各类恶意程序分类数量统计

如图4所示，2012年捕获到的各类恶意程序中，木马的数量占到恶意程序总数量的一半，遥遥领先于其他类型的恶意程序。

图4  2012年捕获恶意程序分类数量占比图

1.5  2012年恶意程序样本按行为分类统计

如图5所示，2012年捕获恶意程序样本中，Downloader恶意程序的数量最大，Dropper和Gamethief分居二三位。

图5  2012年捕获恶意程序样本按行为分类统计

附：恶意程序行为解释

1、Downloader

下载型恶意程序，下载并安装新的恶意软件或广告件在受感染的机器上。

2、Dropper

捆绑型恶意程序，将其他恶意程序与正常文件相结合，当用户打开被捆绑恶意程序的正常文件时，同时释放并执行恶意程序。

3、GameThief

网游盗号类恶意程序，用于盗取用户的网络游戏账号、密码等信息。

4、SPY

间谍类恶意程序，监测主机上的活动，并反馈给恶意程序作者，具有在系统内隐藏的能力。

5、Stealer

偷窃类恶意程序，用于盗取用户的机密信息，如个人隐私、帐号、商业机密等。

6、NET

侧重于网络操作类的恶意程序，例如创建大量线程扫描，或者连接网络。使网络变慢或不能正常运转。

7、P2P

点对点类恶意程序，通常将自身复制到本地共享文件夹下，一旦成功的把自身以一个看似无害的名字安置到共享文件夹下，P2P网络就被接管：通过网络通知另外的用户有新的资源，并且提供下载，从而执行被感染的文件。

8、Clicker

重定向受感染的机器访问指定的 WEB 页面或其它互联网资源。常被用于提高指定网站的点击率、对指定的网站进行拒绝服务攻击、访问恶意网站受到其它的恶意程序攻击。

9、Rootkit

特指那些具有对抗系统安全特性和安全工具的检测的特性的恶意程序，是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。

10、Banker

网银盗号类恶意程序，用于盗取网上银行帐号、支付宝帐号等信息。

1.6  2012年捕获恶意程序家族数量统计

1.6.1  2012年捕获恶意程序样本家族数量 TOP10 统计

如表1所示，2012年捕获的恶意程序样本家族数量主要以病毒及木马为主。病毒程序由于其有感染其他文件的行为，样本数量依然庞大。

表1  2012年捕获恶意程序样本家族数量TOP10

排名	名称	样本数量
1	Virus/Win32.Parite	739911
2	Virus/Win32.Virut	459412
3	Trojan/Win32.Jorik	332703
4	Trojan/Win32.OnLineGames[GameThief]	249302
5	AdWare/Win32.ScreenSaver[not-a-virus]	197649
6	Exploit/JS.Pdfka	180946
7	Trojan/Win32.Patched	177475
8	Trojan/Win32.VBKrypt	170355
9	Trojan/Win32.Zbot[Spy]	165379
10	Trojan/Win32.Genome	147616

附：TOP10家族名称解释

1、Virus/Win32.Parite

家族特点：该病毒首次发现于2008年末，至今已有多个变种。此类病毒感染本地及共享网络上的exe及scr为后缀名的可执行文件。感染方式是在文件尾增加一个新的区块，将病毒代码写入该区块中，被感染后的文件将先执行病毒代码，再执行原程序的代码。此外该病毒还具有删除反病毒软件注册表；结束反病毒软件进程等功能。

2、Virus/Win32.Virut

家族特点：Virut是感染可执行文件的病毒，并且每次感染的代码都不同；因为这个病毒感染时会破坏被感染程序的数据，所以经常造成反病毒软件无法正常修复被感染的程序。该病毒还将自身放置在系统还原目录中，并在每个磁盘根目录下释放autorun.inf文件，利用可移动存储介质进行传播。

3、Trojan/Win32.Jorik

家族特点：此类木马存在大量变种，感染用户计算机后于远程服务器建立连接，并与服务器进行命令交互，以此实现远程控制的目的。其可根据服务器发送的指令，以FTP和HTTP的方式下载其他恶意程序，给被感染用户造成更大的危害。

4、Trojan/Win32.OnLineGames

家族特点：此类木马是以盗取在线游戏账号与密码等信息为目的的木马，通过web、邮件等方式回传盗取的信息。

5、Adware/Win32.ScreenSaver[not-a-virus]

家族特点：此类恶意程序为广告件，运行后向用户计算机植入广告，强制锁定浏览器主页，随机弹出制定广告页面，严重影响用户上网体验。

6、Exploit/JS.Pdfka

家族特点：该恶意程序是一种漏洞利用程序，能够利用PDF文件感染用户计算机。该恶意程序是一个包含Java脚本，会被嵌入PDF文件中。一旦用户打开该PDF文件，漏洞利用程序会利用Adobe Reader程序漏洞，造成缓冲区溢出，从而执行恶意程序，从互联网上自动下载和运行一个恶意软件并将其保存在系统临时文件夹中。

7、Trojan/Win32.Patched

家族特点：此类木马假冒微软补丁，感染指定范围的系统文件。具有下载其他恶意程序到本地执行的功能。

8、Trojan/Win32.VBKrypt

家族特点：此类木马是Visual Basic编写的木马家族，因该家族是以编写语言为标准进行划分的，所以该家族并没有统一的恶意行为。

9、Trojan/Win32.Zbot[Spy]

家族特点：此类木马多是出自著名僵尸网络控制组织Zbot之手，或根据Zbot已发布的恶意程序改编而来。功能上主要以盗取在线游戏账号与密码等信息为目的的木马，并可能伴随自身传播和组成僵尸网络发动大规模攻击的行为。

10、Trojan/Win32.Genome

家族特点：此类木马是一类利用“基因组”进行启发式检出的木马。

1.6.2  2012年新增恶意程序家族样本数量 TOP10 统计

如表2所示，2012年新增的恶意程序家族中样本数量较多的家族主要以广告件及蠕虫为主。

表2  2012年新增恶意程序家族样本数量TOP10

排名	恶意程序家族名	样本数量
1	AdWare/Win32.InstallCore[not-a-virus]	67688
2	Worm/Win32.Fipp	51402
3	AdWare/Win32.iBryte[not-a-virus]	45263
4	Virus/Win32.ZAccess	44681
5	Worm/Win32.Vobfus	41446
6	AdWare/Win32.InstallCore[not-a-virus]	41382
7	WebToolbar/Win32.InstallCore[not-a-virus]	40057
8	WebToolbar/Win32.InstallCore[not-a-virus]	31008
9	Trojan/Win32.SmartFortress2012[FakeAV]	27142
10	Packed/Win32.InstallCore	23602

1.7  2012年恶意程序加壳数量和类型统计

2012年，恶意程序样本加壳的比例由2011年的14.2%下降至2012年的8.6%，如图3所示。2012年恶意程序所使用的主要壳类型TOP10列表如表3所示。

图6  2012年与2011年加壳样本数、总样本数统计对比

表3  2012年恶意程序所使用的壳类型数量TOP10

序号	壳名称	数量
1	UPX	399979
2	PECompact	66721
3	PE_Patch.PECompact	52041
4	PecBundle	48848
5	ASPack	40848
6	PE_Patch	38439
7	Molebox	16853
8	UPack	15477
9	NSPack	14069
10	FSG	12374

第二章  2012年Web安全统计与分析

根据对中国大陆地区192万个网站的检测结果，2012年共监测到8.3万个网站（去重后）被挂马，Web安全形势依然严俊。

2.1  2012年检测到的中国大陆挂马网站数量月度统计

根据对中国大陆地区192万个网站的检测结果，2012年共监测到8.3万个网站（去重后）被挂马，图7所示为2012年中国大陆挂马网站数量月度统计。可以看到，挂马网站数量趋势在2012年呈现下降趋势，在3月份达到峰值，在9月份为全年最低值。

图7  2012年中国大陆挂马网站数量月度统计

2.2  2012年检测到的中国大陆地区挂马网站按省份分布统计

图8所示为2012年中国大陆地区挂马网站按省份分布，列前5位的省份是北京市（21.0%）、江苏省（12.6%）、山东省（10.8%）、浙江省（9.3%）和广东省（8.6%）。挂马网站多集中在经济发达地区的省份。

图8  2012年中国大陆地区挂马网站按省份分布

2.3  2012年检测到的中国大陆地区挂马网站按域名分布统计

图9所示为中国大陆地区挂马网站按域名分布情况。其中，比例排名前三位的是com域名（48.7%）、net域名（14.8%）和cn域名（12.6%）。此外，被挂马的政府网站（.gov.cn域名网站）数量为210个，占全部挂马网站总数的0.3%。

图9  2012年中国大陆地区挂马网站按域名分布情况

根据安天实验室的检测结果，2012年共监测发现被用于传播恶意程序的恶意域名40700个（去重后或各月累计），图10所示为2012年恶意域名按所属顶级域分布情况。其中，排名前三位的是com域名（55.3%）、info域名（12.7%）和net域名（8.1%）。图11所示为2012年恶意域名按其所属域名注册商的分布情况。其中，有25437个（62.5%）恶意域名是在国外6家域名注册商注册的。

图10  2012年恶意域名按所属顶级域分布情况

图11  2012年恶意域名按所属域名注册商分布情况

一些网站或域名是作为放马服务器的形式出现的，这些网站或域名往往被黑客或挂马集团掌控，或用作恶意跳转链接，或作为恶意程序下载服务器。如表1所示，这些域名均为动态域名，许多可以在国内外多家域名注册商注册，且注册成本相对较为低廉。实施网页挂马的黑客或挂马集团往往会批量注册，在一段时间内不断变换使用，以隐藏自己的活动痕迹，规避监管，增加治理的难度。

表4  2012年挂马网站（恶意域名）按子域名数排行TOP10

序号	挂马网站域名	相关挂马子域名
1	ns02.us	73
2	33do.in	36
3	Jkub.com	35
4	ptoml.com	18
5	ignorelist.com	14
6	web9700.com	11
7	ktmx.info	11
8	ikwb.COM	8
9	ggmm518.com	5
10	9000cha.com	4

第三章  2012年移动互联网恶意程序统计与分析

根据安天实验室监测结果，截至2012年底，累计发现移动互联网恶意程序（按恶意程序名称统计）546个（具体名称详见附件，请贵公司提供），其中2012年新发现356个。截至2012年底，累计捕获移动互联网恶意程序样本30658个（MD5值不同），其中2012年新捕获样本22470个。按照《移动互联网恶意程序描述格式》的八类分类标准，2012年发现的移动互联网恶意程序分类统计数据为：恶意扣费93个；信息窃取96个；远程控制45个；恶意传播16个；资费消耗33个；系统破坏30个；诱骗欺诈13个；流氓行为30个。累计发现移动互联网恶意程序下载链接62628条。其中移动互联网恶意程序下载链接36192条。

3.1  2012年捕获移动互联网恶意程序数量月度统计

2012年各月捕获移动互联网恶意程序数量（按恶意程序名称统计）如图12所示，其中1月达到全年最低值（6个），10月达到全年最高值（94个）。

图12  2012年移动互联网恶意程序捕获月度统计

2012年各月捕获移动互联网恶意程序样本数量（MD5值不同）如图13所示，其中4月达到全年最低值（374个），11月达到全年最高值（10807个）。

图13  2012年移动互联网恶意程序样本捕获月度统计

3.2  2012年与2011年捕获移动互联网恶意程序数量对比

2011年至2012年发现移动互联网恶意程序数量（按恶意程序名称统计）走势如图14所示。

图14  2011-2012年移动互联网恶意程序数量走势图

2011年至2012年发现移动互联网恶意程序样本数量（MD5值不同）走势如图15所示。

图15  2011-2012年移动互联网恶意程序样本数量走势

第四章  2012年安全事件摘要

4.1  Flame安全事件

Flame是一类非常复杂的恶意程序，Flame包括多种恶意行为，如：键盘记录、屏幕截图、开启麦克风拦截音频、记录系统信息、蓝牙设备扫描、窃取文档、开启后门等。Flame安全事件表明，具有针对性的高度复杂的恶意程序可以长时间攻击而不被发现。可以预见，利用这种恶意程序进行攻击可以有效的窃取政府、企业的重要机密，对政府及企业的信息具有极大的安全威胁。

4.2  利用JAVA漏洞的攻击事件增多

2012年，JAVA漏洞不断被发现，同时，利用JAVA漏洞的攻击事件与针对JAVA漏洞的漏洞利用程序都不断增多。JAVA漏洞被利用与系统平台无关，无论是Windows系统、MAC系统、Android系统，只要系统中安装有内置JAVA插件的浏览器，那么这些漏洞都会被利用。

4.3  DNS变色龙事件——DNSChanger恶意程序

2012年初爆发的“DNSChanger”病毒影响100多个国家，给互联网用户带来了空前的困扰。DNSChanger修改用户的计算机域名系统(DNS)设置，使用户发送的URL请求到攻击者自己的服务器。到目前为止，全球有400万台电脑感染，攻击者净赚1400万。至今有超过2000多个变种。

4.4  FreeBSD服务器遭入侵

在Linux kernel.org和Sourceforge服务器遭黑客入侵之后，FreeBSD报告它的服务器也遇到了同样的问题。ftp.FreeBSD.org等服务因此短暂下线。FreeBSD称，它在11月11日探测到黑客入侵ftp.FreeBSD.org的两台机器，它立 即将机器下线分析，没有发现软件包遭修改的痕迹，目前没有发现木马，但仍然建议在此期间下载的用户检查软件包。入侵者借助一个失窃的SSH密钥访问服务器，但ftp.FreeBSD.org的服务器是分区的，因此入侵的影响有限。

4.5   FBI、NASA等遭黑客攻击，一百六十万用户数据泄露

黑客组织GhostShell称已经窃取了大量美国政府机构，承包商，安全公司的账号信息（一百六十万账号）。受影响的包括美国宇航局NASA，Bigelow航空公司，航空公司供应商，五角大楼的国防承包商，Credit UnionNational Association (CUNA) 等。从泄露的数据看，攻击者是利用SQL注入进行攻击的。泄露内容包括电子邮件地址，家庭住址，防御材料的测试及分析日记，电子邮件列表，密码，用户名，甚至有一些事管理员邮箱地址，和对应的密码，电话号码，密码哈希。

4.6  Yahoo邮箱零日漏洞以700美元被售卖

一个埃及黑客以700美元的价格在地下论坛售卖一个针对yahoo邮箱的跨站零日漏洞。可以通过这个XSS盗取到yahoo的网页邮箱用户的cookies，从而可让攻击者以受害人身份发送邮件和阅读邮件，黑客称能够在所有浏览器中生效。


第五章  2013年互联网安全趋势展望

2013年互联网安全形势依旧不容乐观，随着互联网地下经济的迅猛发展，地下产业制作恶意程序的速度惊人、通过多种渠道传播恶意程序以谋取暴利，灰色产业的逐年扩张，互联网安全依然面临严峻的考验。

传统病毒产业追逐经济利益的趋势不会改变，恶意程序制造者不会罢休，反而会更加猖狂，不断通过各种手段给用户带来新的安全威胁。新兴的APT攻击在形式上会更加多样化，潜伏的会越来越深、持续危害时间也会越来越长、采用的技术会越来越新颖，会给涉密企业或国家的信息安全带来严重威胁。随着云时代的到来，云资源可能会被恶意程序利用，给互联网安全带来更大的威胁。

预计2013年会有更多的0day漏洞被公布，漏洞交易会更加频繁。网络钓鱼由于低成本、高回报性，依然会被不法分子广泛利用，钓鱼手段欺骗性将会更强，钓鱼方式也将更加多样化。数据泄露事件并不会消失。

2013年Android智能手机操作系统将会占有更大的手机市场份额，然而Android应用市场仍处于初级阶段，管理方面有待完善，恶意程序在官方商店频频出现，谷歌与相关运营商应完善审查机制、加大审查力度，避免恶意程序在Android应用市场出现。手机终端的安全将是未来网络安全的另一主战场，手机恶意程序的传播方式和获利方式将会更加直接，且有针对性。恶意程序的反查杀功能也会更加成熟，Android手机平台的恶意程序数量将会持续走高。