江民发布2011上半年网络安全信息报告
一、传统病毒威胁
1. 新增病毒特征数量及被感染计算机数量统计
据江民科技反病毒中心统计数据显示,2011年上半年全年共增加病毒特征代码48万余条(注:病毒特征代码数不等于捕获的样本数,因为广谱特征等技术的应用,存在一条特征码可查杀多个变种病毒的情况。但其数量的多少可从一定程度上反映实际病毒样本传播的趋势),同比2010年减少了18%。
2011年上半年共发现被感染计算机数量达250万余台,同比2010年上半年下降了60%。从以上数据中不难看出,2011年上半年由传统病毒造成的威胁呈减弱的趋势。
2. 病毒活跃程度统计
就单月的统计数据来看,2011年上半年两次病毒活跃的高峰分别出现在1月份和3月份,这两个月分别为春节长假前后。根据以往的病毒传播规律来看,重大节假日前后均为病毒高发的时间段,而假期期间病毒的活跃程度则相对较弱一些。各月病毒活跃程度的变化趋势参见下图:
3. 病毒类型统计
2011年上半年,最为活跃的病毒类型仍旧为木马病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。在木马病毒中,盗号木马较去年有明显的减少,取而代之的则是以恶意推广为主要目的的木马和脚本型木马病毒。木马下载器和网页木马的活跃程度虽远远不及从前,但也不时的兴风作浪一把。上半年一个名为“小不点”变种bdbq的下载器就曾在5月份左右表现出了极快的增长趋势,其传播的主要途径便是利用了IE和Flash Player两大漏洞的网页木马。可见,下载器和网页木马之间的关系仍旧紧密,两者同为一丘之貉。
同时,针对指定目标人群进行定点传播的网购木马在上半年也制造了几次小范围的攻击浪潮。由于并非传统的大规模传播,因此其感染数量虽然并不算多,但其成功率较传统同类木马而言却得到了极大的增加。
4. 病毒发展特点
为了躲避杀毒软件的监控,病毒总在不停更换自身所使用的技术,恶意推广类木马便是其中具有代表性的一种。通常此类病毒会在桌面以及开始菜单、快捷启动菜单中生成假冒的IE浏览器快捷方式,还可能伪造其它甚至所有软件的快捷方式,从而实现双击快捷方式后自动访问指定站点。为了增强这些快捷方式的生存几率,病毒还会利用ACL来阻止删除行为。一些病毒还采取多重推广方式,即先在系统中安装某些山寨浏览器,然后再通过这些浏览器访问指定的站点。
上半年江民科技又观察到一种利用操作系统重定向机制进行的恶意推广方式:病毒会首先创建一个文件夹,并且在其中创建名为“target”的快捷方式(指向指定的站点)以及“desktop.ini”(包含特殊内容“[.ShellClassInfo] CLSID2={0AFACED1-E828-11D1-9187-B532F1E9575D}”),之后会将该文件夹设置为“系统”属性。在桌面上创建自定义扩展名的假冒IE快捷方式(文件扩展名隐藏),并在注册表中为其创建关联信息。当用户双击该快捷方式时,系统会根据注册表关联设置自动调用explorer.exe打开刚才创建的文件夹。而explorer.exe则会自动打开文件夹中快捷方式“target”所指向的目标,从而实现了对指定站点的访问。
一些具有主动感染功能,并且利用文件下载、交换来实现传播的病毒在上半年也表现得较为活跃,例如木马病毒“通犯”变种rnn。根据江民科技的监测数据显示,该病毒经常混入一些游戏外挂、系统工具等软件的压缩包中,并且通过一些不知名的下载站点进行传播。该病毒运行后会遍历磁盘中的所有目录,如果发现存在exe文件,就会将自身重新命名为“lpk.dll”(与系统文件同名)并复制到exe程序所在文件夹下,从而利用大多数程序存在的文件加载不严格漏洞实现自动运行。如果发现系统中存在rar或zip格式的压缩文件,便会将“lpk.dll”放入压缩包中,从而利用这些压缩包进行广泛的传播。
此种传播较不法分子常用的挂马等方式而言,更加隐蔽也更为长效。因此,建议广大计算机用户,在进行病毒查杀的时候不要仅仅注重系统盘的杀毒,应用程序的安装、存储目录也要定期进行病毒检测,从而不给病毒藏身、发作的机会。
随着网购的越发火爆,不法分子自然也将觊觎的目光投向了这一方兴未艾的市场。上半年江民科技曾捕获到一些针对网购并利用网上交易接口漏洞进行恶意转帐的木马病毒。这些病毒通常会被伪装成“产品报价单”或者“实物图片”等具有迷惑性的名称和图标,从而诱骗用户运行。用户不慎运行后并不会觉察出任何的异样。但当用户进行在线支付的时候,病毒会在后台将真正的收款方替换成不法分子的账号,从而隐秘地将消费者的钱财转移,造成了不同程度的经济损失。这类病毒不会进行大规模的挂马传播,伪装成网购卖家的不法分子会一对一的将病毒发送给那些主动询价的买家并诱骗其运行。并且这些木马在使用一段时间之后便会被弃用,同时与其相关联的一些站点,例如接收病毒反馈信息的网站也会随之废弃,一切犹如人去屋空。
5. 2011年上半年十大病毒
