瑞星2012年上半年中国信息安全报告
2012-07-10 13:34:38免责声明
本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星互联网攻防实验室等部门的统计、研究数据和分析资料,仅针对中国大陆地区2012年1至6月网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。
报告概要
2012年1至6月,瑞星“云安全”系统共截获新增病毒样本3,349,373个,其中木马病毒2,808,723个,占据总体病毒比例的83.86%。 从表面上看,病毒疫情似乎处于“风平浪静”的状态,但实际上病毒将其破坏行为转变为“地下操作”,用户传统观念中的中毒后“电脑死机”、“无法上网”等现象不再是主流病毒采用的方式。64位操作系统、苹果Mac操作系统均不断遭受病毒攻击,以往用户心目中相对安全的系统的概念不复存在。
2012年1至6月,据瑞星“云安全”数据中心监测,截获到挂马网站(以网页个数统计)237万个,与去年同期的236万个相比基本持平。2010年、2011年两年挂马网站连续下降90%以上的态势到今年戛然而止,主要原因是挂马网站形式单一,且技术上无本质突破,安全厂商现阶段的防护技术可对其进行有效打击。
2012年1至6月,瑞星截获钓鱼网站314万个(以URL计算),是去年同期的1.3倍;共 9,903万人次网民遭钓鱼网站侵袭。假冒银行、假冒中奖信息、假冒购物网站仍然占据着钓鱼网站“头三把交椅”,金融行业成为黑客攻击的重灾区。上半年数据显示,彩票类钓鱼网站成为黑客新宠,同时节假日及热点事件成为黑客们关注的焦点。
随着移动互联网的迅速发展和智能手机的大面积应用,在给广大用户带来方便的同时也带来了巨大的安全隐患,在移动互联网的三大平台Android、IOS、Symbian中,Android系统由于其开放性较高,业已成为黑客攻击的主要目标。据瑞星“云安全”数据监测显示,仅今年上半年就截获Android病毒样本4,252个,其中功夫熊猫系列病毒最为猖獗。
上半年国内企业信息安全事故的频发,企业网站、电子商务网站及政府信息网络均曾遭到不同程度的攻击,部分知名网站甚至出现大规模的数据泄露,导致用户和企业的利益严重受损,企业级、国家级信息对抗已升级至“核战”等级,近期爆发的“超级火焰”病毒就是最典型的代表。
瑞星预计,下半年中国信息安全状况仍将动荡不安,挂马、网络钓鱼等威胁凸显。报告分析认为,这些恶意行为几乎全部是受经济利益的驱使。而个人隐私安全仍然堪忧,不法分子千方百计窃取用户的隐私信息。另外,瑞星专家预计,规模更大、技术更先进的大型网络攻击,在今后有可能愈演愈烈。
一、病毒与木马
1. 病毒概述
2012年1至6月,瑞星“云安全”系统共截获新增病毒样本3,349,373个,病毒总体数量与去年同期相比有所下降。其中木马病毒2,808,723个,占据总体病毒比例的83.86%,紧随其后的病毒依次为感染型病毒(Win32)、蠕虫病毒(Worm)、恶意广告程序(Adware)、病毒释放器(Dropper)和黑客后门(Backdoor)。
图1:2012年1-6月病毒构成分析图
2. 十大病毒排行:木马病毒猖獗
2012年1至6月,共计7.4亿人次网民被病毒感染,平均每天411万人次网民中毒,按感染人数、变种数量和代表性进行综合评估,瑞星评选出了2012年上半年的十大病毒。
图2:2012年上半年十大病毒
3. 病毒技术趋势分析:从“破坏”到“谋财”
通过对2012年1至6月新增样本的病毒行为分析发现,今年的病毒数量与去年同期相比有所下降,从表面上看,似乎处于“风平浪静”的状态,但实际上病毒将其破坏行为转变为“地下操作”,用户传统观念中的中毒后“电脑死机”、“无法上网”等现象不再是主流病毒采用的方式。目前,最为流行的病毒均以篡改IE首页、盗取用户隐私信息等方式,实现为黑客带来巨大经济利益的目的。
1)病毒、杀软“战争”进入白热化
随着杀毒软件对病毒的强力围剿,病毒作者对抗杀毒软件的方法也不断升级。以往,病毒通过增加垃圾数据将病毒文件不断增大来规避“云查杀”,今年已升级为通过病毒守护进程,定时更新病毒MD5值的方式,使杀毒软件无法进行有效识别。瑞星安全专家介绍:“这种方式就好比汽车的自动翻牌器一样,在遇到检查时,自动换上另一套号牌。”
此外,某些病毒竟然能够做到使杀毒软件“选择性失明”。传统病毒在进入系统后,为躲避杀毒软件查杀,往往会利用各种手段,尝试将其破坏,这种方式容易引起用户和安全厂商的注意,从而察觉电脑中毒。因此,病毒作者进行了策略调整,借助一些正常软件的数字签名,“合法化”的绕过杀毒软件的检测机制,使杀毒软件不将其视为病毒,而是当作“正常软件”放行。
例如,瑞星“云安全”系统近期监测到一款名为Trojan.Win32.FakeIME的病毒,该病毒将自身伪装成为某知名输入法图标,并盗用其数字签名,从而逃避杀毒软件的监控和查杀。瑞星安全专家介绍,病毒采用的技术在进步,杀毒软件的查杀技术也在不断提高。预计今年下半年,病毒和杀毒软件的对抗将会向白热化升级。
2)网银盗号愈演愈烈,病毒趋于智能化
随着网上购物、网银交易的不断普及,大批黑客开始专注劫持网银进行获利。2012年上半年,瑞星“云安全”系统智能分析处理中心经过对流行病毒行为方式自动提取规则后发现,针对网银类的木马病毒使用的技术发生了明显变化。
以最为知名的“网银超级木马”为例,最初的样本往往采用恶意DLL文件实现篡改支付信息的方式,如今发展到通过解密并将恶意代码注入到傀儡进程中,由傀儡进程去实行恶意行为,这样做的目的是能够绕开一些杀毒软件的主动防御规则,从而逃避查杀。
如图所示,最初“网银超级木马”和近期最新变种行为流程对比图:
图3:“网银超级木马” 最新变种行为流程对比图
3)感染型病毒蔓延,64位操作系统不再安全
通过对1至6月的数据分析发现,感染型病毒*依旧是继木马之后的第二大病毒类型。另外,随着64位操作系统的逐渐普及,感染64位PE文件的病毒呈明显上升趋势,这意味着64位操作系统已不再安全,尤其是企业级用户应采取相应的安全保障措施,才能预防此类信息安全威胁。
上半年,一种可感染64位操作系统的“Xpaj”病毒悄然流传,“Xpaj”比以往所有感染型病毒都要复杂,不仅使用了传统的入口点模糊、多态等技术,最为复杂的地方是它将病毒代码替换掉原程序中子函数的代码,从而与原程序代码很好的融为一体,给传统杀毒软件在清除该病毒时造成了巨大的困难,“不是杀不了,就是杀后被感染文件无法使用”。
*注释:感染型病毒具有易传播,不易清除等特点,同时会给用户造成巨大的危害。传统的普通感染型病毒如:在文件末尾增加节、增加最后一个节大小、修改PE文件入口点。针对这种普通感染型病毒,传统杀毒软件比较容易清除干净,但是新型的复杂的感染型病毒业已出现。
4)Mac OS X安全优势不在,苹果用户安全意识需加强
苹果曾经自豪的宣称其开发的Mac OS X操作系统不易受病毒攻击。然而近期,苹果在网站上移除了“Mac不会感染PC病毒”和“保障你的数据安全,什么也不用做”的说法,其原因是苹果Mac电脑近期遭到Flashback僵尸网络的攻击。这使苹果意识到,自己的系统也并不像预想的那样百毒不侵。
瑞星安全专家指出,世界上没有绝对安全,只有相对安全。用户之所以认为Mac系统安全性高,是由于此前的用户数较Windows相差甚远。随着近年来,苹果产品在中国用户中的迅速普及,黑客针对该系统的入侵价值大大提升,因此,Mac安全问题才显露出来。未来这种情况还可能继续升温,广大用户需要提高安全意识。
