瑞星2012年上半年中国信息安全报告

淡淡体味

瑞星2012年上半年中国信息安全报告

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：2534 回复：1

报告概要

2012年1至6月，瑞星“云安全”系统共截获新增病毒样本3,349,373个，其中木马病毒2,808,723个，占据总体病毒比例的83.86%。 从表面上看，病毒疫情似乎处于“风平浪静”的状态，但实际上病毒将其破坏行为转变为“地下操作”，用户传统观念中的中毒后“电脑死机”、“无法上网”等现象不再是主流病毒采用的方式。64位操作系统、苹果Mac操作系统均不断遭受病毒攻击，以往用户心目中相对安全的系统的概念不复存在。

2012年1至6月，据瑞星“云安全”数据中心监测，截获到挂马网站(以网页个数统计)237万个，与去年同期的236万个相比基本持平。2010年、2011年两年挂马网站连续下降90%以上的态势到今年戛然而止，主要原因是挂马网站形式单一，且技术上无本质突破，安全厂商现阶段的防护技术可对其进行有效打击。

2012年1至6月，瑞星截获钓鱼网站314万个(以URL计算)，是去年同期的1.3倍；共 9,903万人次网民遭钓鱼网站侵袭。假冒银行、假冒中奖信息、假冒购物网站仍然占据着钓鱼网站“头三把交椅”，金融行业成为黑客攻击的重灾区。上半年数据显示，彩票类钓鱼网站成为黑客新宠，同时节假日及热点事件成为黑客们关注的焦点。

随着移动互联网的迅速发展和智能手机的大面积应用，在给广大用户带来方便的同时也带来了巨大的安全隐患，在移动互联网的三大平台Android、IOS、Symbian中，Android系统由于其开放性较高，业已成为黑客攻击的主要目标。据瑞星“云安全”数据监测显示，仅今年上半年就截获Android病毒样本4,252个，其中功夫熊猫系列病毒最为猖獗。

上半年国内企业信息安全事故的频发，企业网站、电子商务网站及Z政F府信息网络均曾遭到不同程度的攻击，部分知名网站甚至出现大规模的数据泄露，导致用户和企业的利益严重受损，企业级、国家级信息对抗已升级至“核战”等级，近期爆发的“超级火焰”病毒就是最典型的代表。

瑞星预计，下半年中国信息安全状况仍将动荡不安，挂马、网络钓鱼等威胁凸显。报告分析认为，这些恶意行为几乎全部是受经济利益的驱使。而个人隐私安全仍然堪忧，不法分子千方百计窃取用户的隐私信息。另外，瑞星专家预计，规模更大、技术更先进的大型网络攻击，在今后有可能愈演愈烈。

一、病毒与木马

1. 病毒概述

2012年1至6月，瑞星“云安全”系统共截获新增病毒样本3,349,373个，病毒总体数量与去年同期相比有所下降。其中木马病毒2,808,723个，占据总体病毒比例的83.86%，紧随其后的病毒依次为感染型病毒(Win32)、蠕虫病毒(Worm)、恶意广告程序(Adware)、病毒释放器(Dropper)和黑客后门(Backdoor)。

图1：2012年1-6月病毒构成分析图

2. 十大病毒排行：木马病毒猖獗

2012年1至6月，共计7.4亿人次网民被病毒感染，平均每天411万人次网民中毒,按感染人数、变种数量和代表性进行综合评估，瑞星评选出了2012年上半年的十大病毒。

图2：2012年上半年十大病毒

3. 病毒技术趋势分析：从“破坏”到“谋财”

通过对2012年1至6月新增样本的病毒行为分析发现,今年的病毒数量与去年同期相比有所下降，从表面上看，似乎处于“风平浪静”的状态，但实际上病毒将其破坏行为转变为“地下操作”，用户传统观念中的中毒后“电脑死机”、“无法上网”等现象不再是主流病毒采用的方式。目前，最为流行的病毒均以篡改IE首页、盗取用户隐私信息等方式，实现为黑客带来巨大经济利益的目的。

1)病毒、杀软“战争”进入白热化

随着杀毒软件对病毒的强力围剿，病毒作者对抗杀毒软件的方法也不断升级。以往，病毒通过增加垃圾数据将病毒文件不断增大来规避“云查杀”，今年已升级为通过病毒守护进程，定时更新病毒MD5值的方式，使杀毒软件无法进行有效识别。瑞星安全专家介绍：“这种方式就好比汽车的自动翻牌器一样，在遇到检查时，自动换上另一套号牌。”

此外，某些病毒竟然能够做到使杀毒软件“选择性失明”。传统病毒在进入系统后，为躲避杀毒软件查杀，往往会利用各种手段，尝试将其破坏，这种方式容易引起用户和安全厂商的注意，从而察觉电脑中毒。因此，病毒作者进行了策略调整，借助一些正常软件的数字签名，“合法化”的绕过杀毒软件的检测机制，使杀毒软件不将其视为病毒，而是当作“正常软件”放行。

例如，瑞星“云安全”系统近期监测到一款名为Trojan.Win32.FakeIME的病毒，该病毒将自身伪装成为某知名输入法图标，并盗用其数字签名，从而逃避杀毒软件的监控和查杀。瑞星安全专家介绍，病毒采用的技术在进步，杀毒软件的查杀技术也在不断提高。预计今年下半年，病毒和杀毒软件的对抗将会向白热化升级。

2)网银盗号愈演愈烈，病毒趋于智能化

随着网上购物、网银交易的不断普及，大批黑客开始专注劫持网银进行获利。2012年上半年，瑞星“云安全”系统智能分析处理中心经过对流行病毒行为方式自动提取规则后发现，针对网银类的木马病毒使用的技术发生了明显变化。

以最为知名的“网银超级木马”为例，最初的样本往往采用恶意DLL文件实现篡改支付信息的方式，如今发展到通过解密并将恶意代码注入到傀儡进程中，由傀儡进程去实行恶意行为，这样做的目的是能够绕开一些杀毒软件的主动防御规则，从而逃避查杀。

如图所示，最初“网银超级木马”和近期最新变种行为流程对比图：

淡淡体味

3月13日晚间，微软发布了今年3月份的安全公告，该公告**更新了6个漏洞，其中一个名为MS12-020的漏洞为超高危漏洞，黑客可利用该漏洞构造特殊的RDP协议包远程控制用户电脑或服务器。由于该漏洞影响XP、2003、Win7和2008等所有Windows系统，所以给用户的隐私安全造成严重的威胁。

而时隔一个月，4月25日，存在于微软刚刚发布一个名为CVE-2012-0158的漏洞被披露已经被黑客利用。黑客利用该漏洞制造出畸形的doc/rtf等文件，通过电子邮件、网页等形式传播，用户一旦打开，电脑就会被黑客控制，盗取隐私信息、下载病毒。

2. 钓鱼网站：种类多样化，诈骗手段层出不穷

1)数据分析

2012年1至6月，瑞星截获钓鱼网站315万个(以URL计算)，是去年同期的1.3倍；共 9,903万人次网民遭钓鱼网站侵袭。具体分布情况如下：