2010上半年中国互联网安全报告

360安全中心【报告概要】2010年1月至6月间,木马、钓鱼欺诈网站是中国网民面临的主要安全威胁.
以不良网址导航站、不良下载站、钓鱼欺诈网站为代表的"流氓网站"群体正在形成一个庞大灰色利益链,互联网安全问题开始进入"流氓网站"时代.
以下为2010年上半年中国互联网安全六大特点:360安全卫士、360杀毒、360木马防火墙、360系统急救箱、360帐号保险箱等360系列产品共截获各类新增木马病毒样本1.
01亿个,上半年平均每天新增55.
5万个,相比去年同期数量增长了3.
5倍.
究其原因,大批不良网址导航站收买木马渠道进行推广,造成木马持续泛滥的情况.
今年1月至7月,360安全中心日均截获的新增木马病毒样本量高达150万;平均每天约有263万中国网民电脑感染木马病毒和恶意软件,其中超过70%是由不良网址导航站的流氓推广行为造成的,如IE浏览器首页被篡改、电脑桌面生成"删不掉"的广告图标;木马病毒主要传播途径依次为网络下载、USB设备感染、挂马网页攻击.
相比去年同期,挂马网页攻击数量大幅缩水至2009年的1/9,每天约有130万人次受到挂马网页攻击,超过80%的挂马网页一旦检测到访问者电脑安装了360安全卫士,会主动放弃攻击.
不良下载站的恶意下载链接则一跃成为木马病毒感染网民电脑的最主要方式;全球最大的云安全体系——360云安全体系极大地压缩了木马的生存空间,并大幅缩短了其存活周期,于是木马开始"进化"其攻击手段:第一,对抗能力更强,破坏安全软件、屏蔽云安全服务器;第二,转向攻击流行应用软件,利用寄生、感染、改装等方式,木马把输入法、浏览器、聊天工具、下载工具等热门应用软件当成了逃避查杀、隐蔽启动的"保护伞",其威胁程度已超过Windows操作系统漏洞攻击;钓鱼、欺诈成为仅次于木马的网络安全威胁.
今年上半年,钓鱼网站数量平均每月新增11630家,360安全卫士、360安全浏览器、360木马防火墙、360网盾等产品平均每天为用户拦截约500万次钓鱼、欺诈网页访问,而这两项数据仍处于高速增长状态,目前每月新增钓鱼网站数量已超过4万家.

6、在"流氓网站"产业链中,不良网址导航站为木马团伙输送金钱,作为开发和制作木马的经济后盾;不良下载站为木马传播提供了主要通道;钓鱼欺诈网站则是通过不良网址导航站上投放广告、搜索引擎等方式从事非法诈骗活动,直接骗取受害网民的钱财.

据360安全中心上半年统计,目前国内共计有上百家不良网址导航站通过木马渠道进行推广,累计影响上亿网民电脑,代表着年产值超过30亿的灰色经济利益;每天活跃的钓鱼网站数量在10万家以上,根据其诈骗手段和攻击数量、攻击成功率估算,网络钓鱼给网民和社会带来的直接与间接经济损失超过了120亿元.

目录一、2010年上半年木马病毒疫情1、木马病毒的增长趋势2、网民电脑受木马病毒攻击的情况3、360查杀木马病毒数量4、主要木马种类及流行性分析5、360查杀量最高的木马TOP106、木马"进化论"和典型案例二、木马病毒的传播方式1、木马传播途径统计2、遍布"地雷"的不良下载站3、数码产品普及加剧U盘木马和病毒传播4、挂马网页攻击缓解5、重要安全漏洞三、2010年上半年钓鱼网页统计分析1、钓鱼网页诈骗手段解析2、钓鱼网页的类型3、钓鱼网页的传播方式4、新增钓鱼网页数量5、钓鱼网页服务器地域分布一、2010上半年木马病毒疫情1、木马病毒的增长趋势2010上半年,360"云安全"系统共截获各类新增木马病毒样本1.
01亿个(以新增的恶意程序文件指纹数量计算),相比去年同期增长了3.
5倍.
尤其在5月和6月,流氓广告程序带动了新增木马病毒数量大幅上升.

图1:2010上半年新增木马病毒数量2、网民电脑受木马病毒攻击的情况通过360"云安全"系统的监测数据、国内安全软件普及情况以及木马病毒的传播范围测算,国内平均每天约有263万网民电脑感染木马病毒.

图2:感染木马病毒的网民电脑数量3、360查杀木马病毒数量以清除的恶意程序文件数量计算,360安全卫士和360杀毒在2010年上半年累计为用户查杀了88亿次木马病毒,而去年同期的这项数据为20亿次,增长3.
4倍,和木马病毒的新增倍数基本符合(后者相比去年同期增长了3.
5倍).

图3:360查杀木马病毒数量4、主要木马种类及流行性分析按照木马病毒的流行度统计,以恶意点击器为代表的流氓广告程序、网游盗号木马、QQ盗号木马、远程控制木马(控制"肉鸡")、木马下载器、恶意脚本程序、伪装文件(文件夹)类U盘病毒是感染量感染量最高的七大类木马病毒.

其中,流氓广告程序是网民最常遇的一类木马,它的主要危害是绑架浏览器首页和桌面图标,强制访问不良网址导航.
在网民电脑遇到的各种安全问题中,流氓广告程序所占的比例约为70%.

2010上半年,超过100家大大小小的网址导航站使用了木马渠道进行推广,强制篡改中招用户浏览器首页.
此外,大量木马恶意推广淘宝客、网页游戏、在线影院等网赚项目,在电脑桌面制造广告图标,使用技术手段让用户难以删除.

流氓广告程序之所以在2010年数量暴涨,一个重要原因是"小耗子"木马案引发连锁反应.
2009年底,警方通过"小耗子"木马案挖出完整木马产业链,有着国内最大"黑客培训基地"之称的黑鹰安全网关闭,大批从事计算机犯罪活动的不法分子入狱.
在严打震慑下,很多木马团伙转向法律风险相对较低的流氓广告程序,而不良网址导航站则成为这类木马的经济后盾.

5、360查杀量最高的木马TOP10榜图4:360木马查杀榜top10在2010年上半年十大木马病毒中,排名第一的Win32/Lmir.
KB是一类专门劫持dll文件的木马程序,常见于"犇牛"等恶性木马下载器中,360对这类木马的查杀量约为3833万次;排名第二的TR/Hijacker.
Gen则是一类对抗安全软件的顽固木马;其它查杀量较高的木马包括了多种篡改IE首页木马和盗号类木马.

6、木马"进化论"和典型案例在巨大经济利益驱动下,尽管新木马源源不断出现,但是在3亿用户和上万台服务器的360云安全体系下,木马生存空间越来越小,存活周期越来越短.

主要原因在于,360安全卫士和360杀毒的"云查杀引擎"采用了白名单和黑名单相结合的机制.
传统杀毒技术是基于病毒库黑名单的防护和查杀,而360云查杀一方面能查杀黑名单中的已知木马病毒,另一方面对系统敏感位置采用了"非白即黑"策略,也就是说,白名单以外的未知程序无法自动运行并产生危害,使用户电脑的安全性得到革命性的提升.

同时,360白名单覆盖了99%以上国内网民常用的操作系统和软件的各个版本,在大幅超越传统杀毒技术查杀能力的情况下,还能有效防范误报误杀.
在此背景下,木马技术也悄然发生了一些"进化":从各个方面破坏安全软件,比如阻止安全软件的安装和运行,暴力关闭安全软件的监控,屏蔽云安全服务器,使用户无法正常使用云查杀功能.

典型案例:"呜呜祖拉"木马下载器.
该木马在世界杯期间流行,电脑一旦中招,该木马会自动阻止用户下载安装360安全卫士、360杀毒以及360系统急救箱等专业安全软件,并通过劫持DNS解析的方式屏蔽云安全服务器.

攻击流行应用软件.
利用寄生、感染、改装等方式,木马把输入法、浏览器、聊天工具、下载工具等流行应用软件当成了逃避查杀、隐蔽启动的"保护伞",甚至某些安全软件的漏洞也被木马利用,篡改锁定受害网民电脑的浏览器首页.

典型案例:金锁木马.
从今年4月份开始,一类名为金锁的木马开始流行,它们利用某安全软件的漏洞,把该软件的Kwssp.
dll、kwsui.
dll、KSWBC.
dll、kswebshield.
dll、KSWebShield.
exe提取出来,再在配置文件kws.
ini中写入了黑客想推广的任意恶意网址,就会让中招用户电脑每天被迫访问这些恶意网址,而且很难修复.

MBR感染(感染系统引导区),格式化硬盘也无法清除.
电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件,由于这个空间是隐藏的,杀毒软件无法对此进行扫描,一些木马开始采用Rootkit技术感染这一系统引导区.

典型案例:鬼影/魅影木马.
该系列木马通常和"飓风影音"播放器捆绑在一起,通过MBR感染具备了极强的复活能力,能够反复下载盗号木马和流氓广告程序攻击中招电脑.

利用数字签名来逃避查杀,相当于有"身份证"的木马.
由于大多数杀毒软件会信任带有真实数字签名的文件,一些木马也开始利用数字签名进行掩护.
木马使用数字签名有两种情况,一种是盗用正规软件厂商外泄的签名,另一种是专门为作恶而注册签名.

典型案例:2009年底,360安全中心率先截获了首个具有真实数字签名的"执照凶手"木马.
进入2010年,这类带有数字签名的木马仍然在不断涌现,例如一个名为"桌面推广助手"的木马下载器,它在运行后会自动下载两个木马程序,并自动下载安装某款浏览器以及某款网络游戏大厅客户端.

新生代木马对安全行业提出了严峻挑战,为此,360安全卫士推出能够全方位、多层次安全防护的"木马防火墙",在"系统防护"之外新增了"应用软件防护",同时针对木马的传播途径、攻击手段、感染方式进行全面拦截,并不断强化安全软件的自我保护能力,修复防御弱点,目前已经取得了良好的成效.

图5:360云安全数据中心二、2010上半年木马病毒的传播方式1、木马传播途径统计根据360安全中心监测的情况,2010上半年,木马病毒主要传播途径依次为网络下载、USB设备感染、挂马网页攻击.

网络下载包括不良下载站的恶意下载链接和其它文件共享/传输方式,是目前木马病毒感染网民电脑的最主要方式,比例约为55%.

其次为USB设备感染,主要是移动硬盘、U盘、数码相机、手机存储卡等USB设备和电脑间交叉感染,比例约为30%.

得益于360安全卫士的普及和网民打补丁意识的增强,今年上半年通过挂马网页传播的木马病毒比例仅为10%左右.
值得注意的是,黑客已经发现挂马攻击对于360用户徒劳无功,绝大多数挂马网页(超过8成)会自动检测访问者电脑中是否装有360安全卫士,如果是360用户则主动放弃攻击.

图6:2010上半年木马病毒传播途径图7:挂马网页攻击代码2、遍布"地雷"的不良下载站图8:遍布地雷的不良下载站这是某家知名软件下载站的下载页面.
当网友想下载AdobePhotoshop软件时,面前的下载链接让人眼花缭乱,上图中标注了编号为1、2、3、4、5的五个图片按钮,鼠标点哪个钮能下载到Photoshop呢答案是:都不能!
这五个图片下载按钮全部指向了一个共同的流氓广告程序,也就是近期非常流行的金锁木马.

无论点哪一处,网友以为下载了Photoshop,其实一打开却是金锁木马.
它会篡改并锁定中招电脑IE首页为67160网址导航,并在电脑桌面生成恶意广告图标.

为什么下载站敢于如此肆无忌惮地传播流氓广告程序利益诱惑恐怕是少不了的.
另外,流氓广告程序本身也缺乏相应的法律监管,比传播盗号木马等直接盗取帐号和隐私的木马病毒风险小得多.
有了大批下载站助纣为虐,这才是广大网民IE首页频繁中招的真实原因.

对于网络下载风险加剧的情况,360全线产品相继完善了防护功能.
其中:360杀毒软件支持迅雷、快车等主流下载工具,即时扫描下载文件的安全性,并支持QQ、MSN、阿里旺旺等聊天工具的文件传输扫描;图9:360杀毒查杀界面360安全卫士的"360网盾"模块具备"下载云安全"功能,可以快速检测鉴定IE、迅雷等下载的文件是否安全,并作出相应的操作建议;图10:360网盾下载云安全界面360安全浏览器3.
5Beta版自身也推出了能够检测下载链接的防护功能,在文件下载之前对危险下载行为进行预警.

图11:360安全浏览器下载保护3、数码产品普及加剧U盘木马和病毒传播手机、数码相机、移动硬盘等数码产品普及,手机和电脑间、数码相机和电脑间少不了传输文件,比如音乐、照片等等;移动硬盘则被用来拷贝影视剧视频、大型游戏;对很多办公族和学生族来说,在打印店打印资料时也不得不用到U盘.

在日益频繁的应用中,USB移动存储设备成了仅次于网络下载的第二大木马病毒传播途径,如果有一台电脑或是移动存储带有木马病毒,就会在接入USB设备时发生"接触"感染,继而就是大面积的交叉感染.
目前U盘病毒主要以两种方式传播:第一种是伪装U盘上的正当文件或者文件夹,把真正的用户资料隐藏起来,再诱使用户打开病毒的程序或是脚本;第二种则是利用系统"自动播放"功能的autorun类U盘病毒,但由于很多安全软件会提示用户关闭"自动播放",这类U盘病毒已经不再流行.

所幸的是,360杀毒软件针对U盘病毒的传播方式独创了"U盘病毒监控技术",只允许经过安全认证的可信程序在USB设备中运行,其它陌生程序和脚本则一律禁止运行.
因此即便是最新病毒,也无法通过USB设备感染360杀毒用户的电脑.

图12:360杀毒U盘保护4、挂马网页攻击缓解2010上半年,每天约130万人次受到挂马网页攻击,仅为去年同期的1/9,黑客通过挂马网页传播木马的势头已经大为减缓,但并不排除在新的高危0day漏洞爆发时,挂马网页会重新成为木马传播的主流途径.

黑客在使用挂马网页传播木马时,挂马网页是木马攻击网民电脑的前线,通常是黑客通过入侵、收买等方式挂马,一般是人气较高的网站;木马网站则是黑客用于存放和部署木马下载、更新的网络站点.

也就是说,如果一台电脑既没有打补丁修复漏洞,也没有安装360安全卫士进行防护,当它访问挂马网页时,电脑就会自动下载运行黑客存在木马网站上的木马.

360安全中心监测到:今年1至6月间,国内共有80.
53万个网站存在挂马情况,恶意链接最多的不再是.
cn域名,而是.
com域名,这和国家有关部门对CN域名加大管理力度有关.
此外,gov.
cn和edu.
cn的安全情况不容乐观,各有2千多个网站被挂马.

从挂马网页的地域分布来看,北京、江苏、广东、上海、浙江、福建是比例最高的几个地区.

同期,360安全中心共捕获到18364个木马网站.
木马网站使用最多的是org域名,比例为49.
10%,如3322.
org、8866.
org等二级免费域名是木马网站经常使用的.
今年上半年,木马网站也转向了更多其他域名上,比如fr、co、cc等等.

图13:挂马网站、木马网站数量及地域分布5、重要安全漏洞IE极光漏洞:2010年1月,Google等高科技公司被曝遭到黑客攻击,始作俑者就是IE极光漏洞.
1月17日,国内互联网出现攻击该漏洞的挂马网站;1月18日,360紧急提供临时补丁;1月22日,微软发布正式补丁修复了漏洞.

HCP协议漏洞:2010年3月,微软证实IE浏览器存在一个"F1按键漏洞",该漏洞需要网民主动按下F1键才能触发攻击,因此互联网上仅出现了少量针对该漏洞的零星攻击,360通过升级拦截规则进行防御.
4月,微软正式发布补丁修复了该漏洞.

IE内存破坏漏洞:2010年3月,IE浏览器再次曝出"内存破坏"0day漏洞,并成为今年国内挂马网站最热衷攻击的对象,而360网盾无需升级即可拦截该漏洞攻击.
在漏洞曝光20天之后,微软于3月31日修复了IE内存破坏漏洞.

HCP协议漏洞:2010年6月,微软证实WindowsXP系统存在HCP协议漏洞,利用该漏洞,挂马网页的恶意脚本会自动打开Windows"帮助和支持中心",从而下载并运行木马,360再度发布临时补丁屏蔽了该漏洞攻击.
根据微软公布的数据,中国网民受该漏洞影响极小.
在漏洞曝出后一个月,微软于7月中旬发布补丁进行修复.

三、2010年上半年钓鱼网站统计分析钓鱼欺诈成为仅次于木马的严重危害.
今年上半年,钓鱼网站数量平均每月新增11630家,360平均每天为用户拦截约500万次钓鱼欺诈网页访问,而这两项数据仍处于高速增长状态,目前每月新增钓鱼网站数量已超过4万家.

1、钓鱼网站诈骗手段解析以前,钓鱼网站就是指一些假冒官方网站页面的网站,比如假冒的银行登录页面、假冒的网络游戏官网等等.
这些都是利用人们很熟悉的软件、网站、公司或机构的信息,来构造一个假的页面,等人们在这些网站上输入自己的帐号密码来达到钓鱼的目的.

近年来,随着网络应用的不断丰富,人们开始习惯于在网络上浏览、查找信息、购买商品,于是各种新的钓鱼形式开始不断涌现,而且这些网站也不仅仅是通过模仿官方页面来钓鱼,而更多的涉及发布虚假信息来达到欺诈的目的.

2010年上半年,360安全中心共截获超过10万个域名涉及钓鱼欺诈,其中虚假中奖、各种彩票预测、股票预测、虚假购物是钓鱼欺诈中最多的类型.
钓鱼产业链十分巨大,通过搜索、IM、广告,很容易进行传播,普通网民往往缺乏对钓鱼网站的了解,在交易或追逐金钱利益的过程中往往自投罗网.

更有甚者,一些不法分子用群发短信、语音电话等方式,把很多原本不熟悉互联网的人也拖下水.
相对于木马,钓鱼欺诈给网络安全带来的问题更为复杂,商业利益经济利益掺杂其中,也给反钓鱼欺诈带来很多困难.

为此,360安全中心正在不断加大反钓鱼欺诈的力度,通过360安全卫士和360安全浏览器拦截网上的各种钓鱼欺诈信息,保护用户的财产安全.

图14:360安全卫士"网盾"功能对钓鱼网站的拦截提示图15:360安全浏览器对钓鱼网站的拦截提示2、钓鱼网页的类型(1)各种中奖骗局这些网站的内容以模仿游戏网站、QQ、CCTV等知名栏目、门户网站等发布中奖、奖励信息为主,冒充官方活动专区,页面和官方网站极为相似,用来骗取访问者的QQ、游戏账号密码或者是骗中奖者支付领取奖品的相关费用.

图16:冒充CCTV"非常6+1"的抽奖活动页面(2)各种预测网站这些网站会利用彩民梦想中大奖的心理,进行各种收费预测,网站上会列出很多预测准确的记录来骗取彩民信任,吸引彩民加入会员,购买所谓专家的预测资料,大部分网站还会打出中国福利彩票的官方字样,甚至还有不少是涉及六合彩、赌球方面的网站.
彩民如果相信了他们所谓的预测号码、操纵比赛、预测比赛结果的骗局,往往都会损失惨重.

图17:彩票预测欺诈网站黑马股票的骗局这些网站会使用知名证券公司的名称,或者干脆使用一些不存在的证券公司名称来构建网站,网站以提供保证高额利润为诱饵,向股民推荐涨停股、黑马股,向被骗股民收取高额会员费、保密费,甚至是直接让股民投资给他们做代理炒股.
受骗股民往往会损失几万或数十万.

图18:股票类欺诈网站虚假购物网站这类网站会在网民购物时出现在买家或卖家的QQ/旺旺上,买卖双方经常发送各种与商品有关的链接,而钓鱼网站就会掺杂其中,页面通常会模仿淘宝、拍拍、支付宝、财付通等与购物有关的网站,骗取账号密码或钱财.

另外还有一些用极低价格来吸引顾客的购物网站,钻石、手表、手机、充值卡,也是涉及购物欺诈的一种.

图19:冒充淘宝的虚假购物网站仿冒官方网站登录无论我们在网络上做什么,最常遇到的就是需要输入注册账号,输入用户名、密码.
各种模仿官方网站登录的钓鱼,仿真度非常高,和官方网站几乎是一模一样,IM、网络游戏、邮箱、购物网站、银行,几乎只要是可以登录的网站,就有相应的钓鱼网站.

图20:冒充腾讯游戏官网的钓鱼网站仿冒的医疗、药品相关网站近年来,销售假药、劣质药品、假冒医疗机构的现象也时有发生,这类网站也是钓鱼欺诈的重要类型.
这些网站的危害不止是骗人钱财,更重要的是会影响人的健康.

图21:卖假药的欺诈网站假冒的下载站这类假冒的下载站,往往有着和官方下载页面相似的页面,但是却提供含有木马的下载链接,这属于用钓鱼的方式来推广木马.

图22:冒充知名游戏插件来传播木马的钓鱼网站3、钓鱼网页的传播方式(1)通过QQ、MSN、旺旺等IM客户端,发送钓鱼链接,链接往往具有迷惑性,会用与官方网站域名很相似的链接(2)在论坛、博客、微博、问答类网站等发布链接,往往会用"我知道一个特别好的网站"等等的推荐方式.

(3)通过邮件,假冒管理员来发送钓鱼网站.
(4)在网站上制作假的仿冒QQ、360等知名软件的弹窗,吸引用户进入钓鱼网站.

(5)在搜索引擎或一些专给钓鱼网站做广告的网站中投放广告,在用户搜索某些关键词时,容易进入广告链接.

4、新增钓鱼网页数量从360安全中心对钓鱼网站的拦截情况来看,在2009年,360每个月发现新增钓鱼网站数量大约是2000-3000个;到了2010年,这个数字暴涨了10倍.
虽然很多钓鱼网站的生存周期很短,甚至几天就会废弃掉,但钓鱼网站的整体数量还是超过了10万家.

今年上半年,360安全卫士平均每天拦截钓鱼网站访问人次达到了4747668人次,根据钓鱼网站暴增的趋势,这个数据在年底必然会突破500万次.

图23:2010年上半年新增钓鱼网址趋势从上图可以看到,在今年上半年过后的7月,360安全中心截获的新增钓鱼网址继续高速增长,单月达到35611家,说明钓鱼欺诈的风险仍然在进一步加剧.