瑞星稱感染型病毒蔓延 64位操作系統(tǒng)不再安全 |
發(fā)布時(shí)間: 2012/8/21 14:31:43 |
7月11日消息,瑞星公司昨日對(duì)外公布了《2012年上半年中國(guó)信息安全報(bào)告》。 報(bào)告顯示,2012年1至6月,瑞星“云安全”系統(tǒng)共截獲新增病毒樣本3,349,373個(gè),病毒總體數(shù)量與去年同期相比有所下降。2012年1至6月,共計(jì)7.4億人次網(wǎng)民被病毒感染。
報(bào)告同時(shí)指出,隨著64位操作系統(tǒng)的逐漸普及,感染64位PE文件的病毒呈明顯上升趨勢(shì),這意味著64位操作系統(tǒng)已不再安全,尤其是企業(yè)級(jí)用戶應(yīng)采取相應(yīng)的安全保障措施,才能預(yù)防此類信息安全威脅。 一、病毒與木馬 1. 病毒概述 2012年1至6月,瑞星“云安全”系統(tǒng)共截獲新增病毒樣本3,349,373個(gè),病毒總體數(shù)量與去年同期相比有所下降。其中木馬病毒2,808,723個(gè),占據(jù)總體病毒比例的83.86%,緊隨其后的病毒依次為感染型病毒(Win32)、蠕蟲病毒(Worm)、惡意廣告程序(Adware)、病毒釋放器(Dropper)和黑客后門(Backdoor)。
圖1:2012年1-6月病毒構(gòu)成分析圖 2. 十大病毒排行:木馬病毒猖獗 2012年1至6月,共計(jì)7.4億人次網(wǎng)民被病毒感染,平均每天411萬(wàn)人次網(wǎng)民中毒,按感染人數(shù)、變種數(shù)量和代表性進(jìn)行綜合評(píng)估,瑞星評(píng)選出了2012年上半年的十大病毒。 圖2:2012年上半年十大病毒 3. 病毒技術(shù)趨勢(shì)分析:從“破壞”到“謀財(cái)” 通過(guò)對(duì)2012年1至6月新增樣本的病毒行為分析發(fā)現(xiàn),今年的病毒數(shù)量與去年同期相比有所下降,從表面上看,似乎處于“風(fēng)平浪靜”的狀態(tài),但實(shí)際上病毒將其破壞行為轉(zhuǎn)變?yōu)?ldquo;地下操作”,用戶傳統(tǒng)觀念中的中毒后“電腦死機(jī)”、“無(wú)法上網(wǎng)”等現(xiàn)象不再是主流病毒采用的方式。目前,最為流行的病毒均以篡改IE首頁(yè)、盜取用戶隱私信息等方式,實(shí)現(xiàn)為黑客帶來(lái)巨大經(jīng)濟(jì)利益的目的。 1)病毒、殺軟“戰(zhàn)爭(zhēng)”進(jìn)入白熱化 隨著殺毒軟件對(duì)病毒的強(qiáng)力圍剿,病毒作者對(duì)抗殺毒軟件的方法也不斷升級(jí)。以往,病毒通過(guò)增加垃圾數(shù)據(jù)將病毒文件不斷增大來(lái)規(guī)避“云查殺”,今年已升級(jí)為通過(guò)病毒守護(hù)進(jìn)程,定時(shí)更新病毒MD5值的方式,使殺毒軟件無(wú)法進(jìn)行有效識(shí)別。瑞星安全專家介紹:“這種方式就好比汽車的自動(dòng)翻牌器一樣,在遇到檢查時(shí),自動(dòng)換上另一套號(hào)牌。” 此外,某些病毒竟然能夠做到使殺毒軟件“選擇性失明”。傳統(tǒng)病毒在進(jìn)入系統(tǒng)后,為躲避殺毒軟件查殺,往往會(huì)利用各種手段,嘗試將其破壞,這種方式容易引起用戶和安全廠商的注意,從而察覺(jué)電腦中毒。因此,病毒作者進(jìn)行了策略調(diào)整,借助一些正常軟件的數(shù)字簽名,“合法化”的繞過(guò)殺毒軟件的檢測(cè)機(jī)制,使殺毒軟件不將其視為病毒,而是當(dāng)作“正常軟件”放行。 例如,瑞星“云安全”系統(tǒng)近期監(jiān)測(cè)到一款名為Trojan.Win32.FakeIME的病毒,該病毒將自身偽裝成為某知名輸入法圖標(biāo),并盜用其數(shù)字簽名,從而逃避殺毒軟件的監(jiān)控和查殺。瑞星安全專家介紹,病毒采用的技術(shù)在進(jìn)步,殺毒軟件的查殺技術(shù)也在不斷提高。預(yù)計(jì)今年下半年,病毒和殺毒軟件的對(duì)抗將會(huì)向白熱化升級(jí)。 2)網(wǎng)銀盜號(hào)愈演愈烈,病毒趨于智能化 隨著網(wǎng)上購(gòu)物、網(wǎng)銀交易的不斷普及,大批黑客開始專注劫持網(wǎng)銀進(jìn)行獲利。2012年上半年,瑞星“云安全”系統(tǒng)智能分析處理中心經(jīng)過(guò)對(duì)流行病毒行為方式自動(dòng)提取規(guī)則后發(fā)現(xiàn),針對(duì)網(wǎng)銀類的木馬病毒使用的技術(shù)發(fā)生了明顯變化。 以最為知名的“網(wǎng)銀超級(jí)木馬”為例,最初的樣本往往采用惡意DLL文件實(shí)現(xiàn)篡改支付信息的方式,如今發(fā)展到通過(guò)解密并將惡意代碼注入到傀儡進(jìn)程中,由傀儡進(jìn)程去實(shí)行惡意行為,這樣做的目的是能夠繞開一些殺毒軟件的主動(dòng)防御規(guī)則,從而逃避查殺。 如圖所示,最初“網(wǎng)銀超級(jí)木馬”和近期最新變種行為流程對(duì)比圖:
圖3:“網(wǎng)銀超級(jí)木馬” 最新變種行為流程對(duì)比圖 3)感染型病毒蔓延,64位操作系統(tǒng)不再安全 通過(guò)對(duì)1至6月的數(shù)據(jù)分析發(fā)現(xiàn),感染型病毒*依舊是繼木馬之后的第二大病毒類型。另外,隨著64位操作系統(tǒng)的逐漸普及,感染64位PE文件的病毒呈明顯上升趨勢(shì),這意味著64位操作系統(tǒng)已不再安全,尤其是企業(yè)級(jí)用戶應(yīng)采取相應(yīng)的安全保障措施,才能預(yù)防此類信息安全威脅。 上半年,一種可感染64位操作系統(tǒng)的“Xpaj”病毒悄然流傳,“Xpaj”比以往所有感染型病毒都要復(fù)雜,不僅使用了傳統(tǒng)的入口點(diǎn)模糊、多態(tài)等技術(shù),最為復(fù)雜的地方是它將病毒代碼替換掉原程序中子函數(shù)的代碼,從而與原程序代碼很好的融為一體,給傳統(tǒng)殺毒軟件在清除該病毒時(shí)造成了巨大的困難,“不是殺不了,就是殺后被感染文件無(wú)法使用”。 *注釋:感染型病毒具有易傳播,不易清除等特點(diǎn),同時(shí)會(huì)給用戶造成巨大的危害。傳統(tǒng)的普通感染型病毒如:在文件末尾增加節(jié)、增加最后一個(gè)節(jié)大小、修改PE文件入口點(diǎn)。針對(duì)這種普通感染型病毒,傳統(tǒng)殺毒軟件比較容易清除干凈,但是新型的復(fù)雜的感染型病毒業(yè)已出現(xiàn)。 4)Mac OS X安全優(yōu)勢(shì)不在,蘋果用戶安全意識(shí)需加強(qiáng) 蘋果曾經(jīng)自豪的宣稱其開發(fā)的Mac OS X操作系統(tǒng)不易受病毒攻擊。然而近期,蘋果在網(wǎng)站上移除了“Mac不會(huì)感染PC病毒”和“保障你的數(shù)據(jù)安全,什么也不用做”的說(shuō)法,其原因是蘋果Mac電腦近期遭到Flashback僵尸網(wǎng)絡(luò)的攻擊。這使蘋果意識(shí)到,自己的系統(tǒng)也并不像預(yù)想的那樣百毒不侵。 瑞星安全專家指出,世界上沒(méi)有絕對(duì)安全,只有相對(duì)安全。用戶之所以認(rèn)為Mac系統(tǒng)安全性高,是由于此前的用戶數(shù)較Windows相差甚遠(yuǎn)。隨著近年來(lái),蘋果產(chǎn)品在中國(guó)用戶中的迅速普及,黑客針對(duì)該系統(tǒng)的入侵價(jià)值大大提升,因此,Mac安全問(wèn)題才顯露出來(lái)。未來(lái)這種情況還可能繼續(xù)升溫,廣大用戶需要提高安全意識(shí)。 二、惡意網(wǎng)站 1. 掛馬網(wǎng)站:常用操作系統(tǒng)頻遭攻擊 1)掛馬網(wǎng)站概述 2012年1至6月,據(jù)瑞星“云安全”數(shù)據(jù)中心監(jiān)測(cè),截獲到掛馬網(wǎng)站*(以網(wǎng)頁(yè)個(gè)數(shù)統(tǒng)計(jì))237萬(wàn)個(gè),與去年同期的236萬(wàn)個(gè)相比基本持平。2010年、2011年兩年掛馬網(wǎng)站連續(xù)下降90%以上的態(tài)勢(shì)到今年戛然而止,主要原因是掛馬網(wǎng)站形式單一,且技術(shù)上無(wú)本質(zhì)突破,安全廠商現(xiàn)階段的防護(hù)技術(shù)可對(duì)其進(jìn)行有效打擊。 令人欣喜的是,在報(bào)告期內(nèi)瑞星攔截掛馬網(wǎng)站的攻擊總計(jì)1,986萬(wàn)次,與去年同期5,430萬(wàn)次相比降低65.43%。其具體分布情況如下: 圖4:2012年1-6月掛馬網(wǎng)站上報(bào)量 *注釋:掛馬網(wǎng)站指的是被黑客植入惡意代碼的正規(guī)網(wǎng)站,這些被植入的惡意代碼,通常會(huì)直接指向“木馬網(wǎng)站”的網(wǎng)絡(luò)地址。木馬網(wǎng)站:是一種利用程序漏洞,在后臺(tái)偷偷下載木馬的網(wǎng)頁(yè)。這些網(wǎng)頁(yè)通常放在黑客自己管理的服務(wù)器上,當(dāng)用戶訪問(wèn)時(shí),會(huì)把許多木馬下載到用戶機(jī)器中運(yùn)行。 2)Windows相關(guān)漏洞仍難擺脫掛馬網(wǎng)站的“魔咒” 經(jīng)瑞星監(jiān)測(cè),上半年的木馬攻擊有4成基于IE漏洞,4成基于Flash漏洞,2成為其他漏洞。Windows操作系統(tǒng)的相關(guān)漏洞仍然是被黑客們利用最多的主要攻擊途徑。 圖5:2012年1-6月漏洞排行Top10 3月13日晚間,微軟發(fā)布了今年3月份的安全公告,該公告中共更新了6個(gè)漏洞,其中一個(gè)名為MS12-020的漏洞為超高危漏洞,黑客可利用該漏洞構(gòu)造特殊的RDP協(xié)議包遠(yuǎn)程控制用戶電腦或服務(wù)器。由于該漏洞影響XP、2003、Win7和2008等所有Windows系統(tǒng),所以給用戶的隱私安全造成嚴(yán)重的威脅。 而時(shí)隔一個(gè)月,4月25日,存在于微軟剛剛發(fā)布一個(gè)名為CVE-2012-0158的漏洞被披露已經(jīng)被黑客利用。黑客利用該漏洞制造出畸形的doc/rtf等文件,通過(guò)電子郵件、網(wǎng)頁(yè)等形式傳播,用戶一旦打開,電腦就會(huì)被黑客控制,盜取隱私信息、下載病毒。 2. 釣魚網(wǎng)站:種類多樣化,詐騙手段層出不窮 1)數(shù)據(jù)分析 2012年1至6月,瑞星截獲釣魚網(wǎng)站315萬(wàn)個(gè)(以URL計(jì)算),是去年同期的1.3倍;共 9,903萬(wàn)人次網(wǎng)民遭釣魚網(wǎng)站侵襲。具體分布情況如下: 圖6:2012年1-6月釣魚網(wǎng)站數(shù) 圖7:2012年1-6月釣魚網(wǎng)站上報(bào)總次數(shù) 釣魚網(wǎng)址大量增加,而網(wǎng)民受到釣魚網(wǎng)站攻擊次數(shù)卻小幅回落,其原因在于現(xiàn)有的反釣魚技術(shù)能夠攔截大多數(shù)釣魚網(wǎng)站,并通過(guò)“云攔截”、“云防護(hù)”等手段第一時(shí)間讓所有用戶具有智能反釣魚能力。上半年釣魚網(wǎng)站最多的類型分別為:假冒銀行類、假冒中獎(jiǎng)信息類、假冒購(gòu)物網(wǎng)站類。詳細(xì)情況如下: 圖8:2012年1-6月釣魚網(wǎng)站數(shù)量與比例 2)網(wǎng)絡(luò)釣魚現(xiàn)狀分析 據(jù)瑞星“云安全”數(shù)據(jù)監(jiān)測(cè)顯示,上半年,隨著B2C電子商務(wù)的迅猛發(fā)展,網(wǎng)絡(luò)釣魚事件愈加頻繁。釣魚網(wǎng)站的生命周期比去年同期更短,多數(shù)都是跟隨節(jié)假日以及熱點(diǎn)事件應(yīng)運(yùn)而生。同時(shí),對(duì)比去年同期數(shù)據(jù),網(wǎng)絡(luò)釣魚類型在構(gòu)成上也更加復(fù)雜,說(shuō)明黑客也在根據(jù)市場(chǎng)的變化不斷調(diào)整策略。 A. 銀行類網(wǎng)站頻遭仿冒 目前,銀行類網(wǎng)站仍然是釣魚網(wǎng)站最常見仿冒對(duì)象之一。相對(duì)于其他類型網(wǎng)站,假冒銀行網(wǎng)站竊取用戶信息更加直接,同時(shí)給用戶帶來(lái)的經(jīng)濟(jì)損失也更加巨大。 今年上半年,網(wǎng)上曝出中國(guó)銀行網(wǎng)站頻遭大量釣魚網(wǎng)站假冒,假冒網(wǎng)站通過(guò)詐騙短信謊稱中國(guó)銀行網(wǎng)銀升級(jí),進(jìn)而騙取客戶的密碼。僅僅幾十秒時(shí)間,就能轉(zhuǎn)走受害人存款,多的有數(shù)百萬(wàn)元之巨。 B. 中獎(jiǎng)信息類、假冒購(gòu)物類釣魚網(wǎng)站大肆橫行 中獎(jiǎng)信息類釣魚網(wǎng)站、假冒購(gòu)物類釣魚網(wǎng)站往往都是利用一些網(wǎng)友貪占小便宜的心理進(jìn)行誘騙。近期,這些網(wǎng)站甚至掌握了一些知名品牌或企業(yè)的網(wǎng)上活動(dòng)周期,對(duì)各方面活動(dòng)信息都模仿的惟妙惟肖,讓網(wǎng)友們難以分辨真假。 一位李小姐就表示曾經(jīng)收到過(guò)QQ中獎(jiǎng)的郵件。網(wǎng)頁(yè)中有QQ的LOGO以及詳細(xì)的兌獎(jiǎng)步驟,按照提示填寫了個(gè)人資料以后,該網(wǎng)站就要求李小姐填寫自己的銀行賬號(hào)及密碼。這使李小姐警惕起來(lái),仔細(xì)一看,網(wǎng)頁(yè)顯示的地址并不是騰訊公司的官方頁(yè)面,而是www.qquuccqq.com。 C. 彩票類釣魚網(wǎng)站激增 今年上半年,彩票類釣魚網(wǎng)站數(shù)量猛增,從去年的寥寥無(wú)幾增加到總體釣魚網(wǎng)站數(shù)量的9%。近年來(lái),線上購(gòu)買彩票已經(jīng)成為網(wǎng)友們習(xí)以為常的事情,一些專業(yè)的“彩民”甚至?xí)淮涡曰ㄉ锨酥辽先f(wàn)元投注,這也給了黑客們可乘之機(jī)。 經(jīng)瑞星“云安全”數(shù)據(jù)中心監(jiān)測(cè),今年4月份,彩票類釣魚網(wǎng)站激增,這些釣魚網(wǎng)站都是模仿正規(guī)彩票網(wǎng)站,騙取“彩民”們的信息及錢財(cái)?shù)摹?/p> 北京的張先生就表示曾在彩票網(wǎng)站投注時(shí)被騙過(guò)2萬(wàn)余元。張先生本是跟別人合伙對(duì)彩票進(jìn)行“投資”的,沒(méi)想到在進(jìn)行操作的時(shí)候誤點(diǎn)入釣魚網(wǎng)站,白白損失了錢財(cái)?shù)耐瑫r(shí),還將合伙人得罪了,可謂是有苦說(shuō)不出。 D.節(jié)假日成為釣魚高峰期 據(jù)今年上半年統(tǒng)計(jì),節(jié)假日是釣魚網(wǎng)站最猖獗的時(shí)期。由于近年來(lái),商家慣于利用各種節(jié)假日進(jìn)行網(wǎng)上促銷等活動(dòng),這讓黑客們有機(jī)可乘。春節(jié)、三八婦女節(jié)、五一、母親節(jié)、端午節(jié)、父親節(jié),消費(fèi)者已經(jīng)習(xí)慣在這些節(jié)日進(jìn)行采購(gòu),無(wú)論是自用還是送禮,這個(gè)時(shí)期的折扣多,非常有誘惑力。而黑客們正是看中了這一點(diǎn),以節(jié)日低折扣的招牌,混在諸多網(wǎng)購(gòu)網(wǎng)站當(dāng)中,騙取網(wǎng)友的信息與錢財(cái)。 E. 熱點(diǎn)事件催生網(wǎng)絡(luò)釣魚 近年,在網(wǎng)絡(luò)運(yùn)營(yíng)商們從追捧熱點(diǎn)事件中看到了商機(jī)的同時(shí),黑客也想借機(jī)謀取不義之財(cái)。高考前夕,各種“絕密”考試資料網(wǎng)站如雨后春筍般冒頭?忌议L(zhǎng)王女士透露,曾經(jīng)在網(wǎng)上為孩子購(gòu)買復(fù)習(xí)資料,網(wǎng)站推銷說(shuō)該資料能夠百分之八十壓中考題,然而當(dāng)王女士用網(wǎng)銀向其打款后,購(gòu)買的考試資料卻遲遲沒(méi)有收到,再聯(lián)系網(wǎng)站客服的時(shí)候,發(fā)現(xiàn)該網(wǎng)站提供的聯(lián)系方式是假的。 無(wú)巧不成書,近期歐洲杯開幕,根據(jù)瑞星“云安全”系統(tǒng)數(shù)據(jù)分析發(fā)現(xiàn),僅6月9日-11日開賽的前3天時(shí)間內(nèi),瑞星就截獲了42萬(wàn)個(gè)來(lái)自釣魚網(wǎng)站的攻擊,其中賭球類釣魚網(wǎng)站更是高達(dá)15%以上。這是因?yàn)楹芏鄬?duì)看球意猶未盡的網(wǎng)友在賭球網(wǎng)站上尋找刺激,參與了網(wǎng)上賭球的活動(dòng),其帶來(lái)的直接結(jié)果就是巨大的經(jīng)濟(jì)損失。 3)釣魚網(wǎng)站趨勢(shì)分析 通過(guò)上半年的現(xiàn)狀分析,可以看到,目前黑客采取的釣魚策略主要有兩種,一種是直接仿冒網(wǎng)上銀行交易系統(tǒng),無(wú)論是銀行類釣魚網(wǎng)站還是購(gòu)物類釣魚網(wǎng)站,均屬于此種范疇。另外一種是制造虛假信息,誘使網(wǎng)友進(jìn)入專門制作的相關(guān)頁(yè)面進(jìn)行釣魚,中獎(jiǎng)?lì)愥烎~網(wǎng)站就是其典型例子。 可以預(yù)見,在今年下半年,還將有更多的釣魚網(wǎng)站嶄露頭角,而且極有可能會(huì)根據(jù)節(jié)日、重大時(shí)事熱點(diǎn),變化出新的花樣,甚至運(yùn)用一些新的手段。網(wǎng)友要提高警惕,擦亮自己的眼睛,盡早做好防護(hù)準(zhǔn)備,對(duì)于普通廣大用戶而言,最直接有效的方式是安裝一款具有智能反釣魚功能的安全軟件。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |