瑞星2011年度安全报告
2012-01-11 17:00:28第一节 年度安全状况总结
(1)病毒数量高位波动,危害仍然不可小觑
报告期内,瑞星公司截获病毒922万个,比去年上升22.9%,受害网民11.7亿人次。从本年度新增病毒的种类来看,木马(trojan)共有7,087,420个,占75.66%,当之无愧成为所有恶意程序中最大的类别。
与往年不同的是,2011年新增的病毒中包括win32感染型病毒795,893个,占总体数量的 8.63%,已经取代后门(backdoor)成为第二大类。后门和黑客程序(hack)两类的数量几乎相等,皆以4.33%的比例并列第三。病毒释放器(Dropper)、蠕虫病毒(worm)和广告程序(adware)依次排列,比例分别为2.51%、2.29%和2.25%。
(2)十大病毒排行
2011年共11.7亿人次网民被病毒感染,按感染人数、变种数量和代表性进行综合评估,瑞星评选出了2011年的十大病毒。
(3)病毒技术趋势:病毒更简单 功能多元化
根据瑞星研发团队对2011年新增感染型病毒样本的感染行为分析来看,病毒的编译方式正在发生巨大的变化,从传统的低级汇编语言撰写逐渐转变为类似“汇编+C语言”这样的混合撰写模式,病毒用短小精悍的汇编引导部分,去加载C语言(或其他高级语言)编写的主体,这样结构简单、工作量更小,病毒运行也更加稳定而隐秘。
5月份,瑞星发布安全警告指出,“未来用高级语言编写病毒会在未来形成主流”,事实上,截至2011年度末,瑞星共截获感染型病毒(win32)约80万个,已经成为木马之后的第二大类恶意程序。这种病毒包括了下载运行、广告程序、盗取隐私、远程控制等多种功能模块。可以说,这类病毒的结构和编写越来越简单,而能实现的功能却越来越复杂和完善。
从瑞星截获的病毒样本来看,感染型病毒并不是以传播作为最终目的,而是作为其他病毒程序的跳板,将它们传播到计算机的各个角落后,再将其载体激活后完成最终的目的。这类病毒就像空军的“运输机”,它的作用就是骗过系统和杀毒软件,把各种各样的病毒运到目的地。
从感染型病毒的发展趋势来看,木马与病毒的界限越来越模糊,功能趋向统一化。传统意义上木马和病毒的区分主要在于他们的特征,木马善于潜伏并完成某种预先设定的功能,而病毒主要拥有感染传播的能力。就目前的感染型病毒的发展趋势来看,感染型病毒逐渐采纳了木马程序的编写手段和功能,而木马程序的传播途径上又存在着与感染型病毒趋近的趋势,这两种病毒“长得越来越像”。
恶意程序都是出于某种特殊目的而产生的,病毒的制作者也会考虑到各种不同恶意程序的优处和不足,并使之相互弥补和融合。但总体上,不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的,功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。
(4)挂马网站保持平稳
瑞星“云安全”数据中心的统计表明,2011年截获的挂马网站,比去年同期下降了89.74%。分析其中的原因,瑞星安全专家指出,“云安全”的成功应用、瑞星杀毒软件永久免费后安装量的增长,促使网民整体的安全防护能力比以前有较大提高,黑客挂马行为变得困难而高风险,从而打破了“挂马产业链”的黑色链条。
报告期内,瑞星共截获挂马网站3,471,148个,受害网民8065万。其中下半年截获110万,比上半年的236万有大幅下降。从数据上来看,单个挂马网站的侵害人数保持平稳,这说明黑客并未放弃网站挂马的攻击方式。
瑞星公司统计了黑客用来挂马的9大漏洞,存在漏洞的软件集中在浏览器和flash插件上,其中5个漏洞与IE有关,3个与Adobe Flash Player有关。Flash作为一种纯网络化、跨平台的应用,其在移动平台上的安全风险也不可低估,例如在安卓系统上,就有可以被利用来进行挂马的Flash漏洞,随着智能手机、平板运算能力的增加,未来可能在移动平台出现大量的挂马攻击。
目前,网络上仍充斥着大量“挂马网站”,广大网民应该提高安全意识,可以安装永久免费的瑞星杀毒软件和防火墙,其中含有的智能反钓鱼技术和防挂马技术,可以拦截钓鱼网站和挂马网站,帮助用户抵御安全风险。
(注)挂马网站:指的是被黑客植入恶意代码的正规网站,这些被植入的恶意代码,通常会直接指向“木马网站”的网络地址。木马网站:是一种利用程序漏洞,在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上,当用户访问时,会把许多木马下载到用户机器中运行。
