(电子商务研究中心讯) 报告概要:
2009年,互联网和普通百姓的生活越来越紧密,无论是购物、休闲、工作都越来越显现出互联网的重要性。而与此同时,互联网安全问题也越发突出。从09年年初央视315晚会对网银安全问题的报道,到5.19全国断网事件的发生以及年末百度被“黑”事件,网络安全问题已经成为一个社会话题。
引发网络安全问题的根源就是“经济利益”。木马产业链、病毒经济都离不开利益。无论是盗号木马还是修改用户IE主页的恶意软件,这些病毒制作者的目的只有一个——“钱”。近几年,病毒、木马所带来的产业链规模不断刷新,到2009年,据金山安全实验室反病毒专家预测,2009年,病毒产业规模将达到百亿。
伴随着用户对网络安全问题的日益关注,黑客、病毒木马制作者的“生存方式”也在发生变化。病毒的“发展”已经呈现多元化的趋势,类似熊猫烧香、灰鸽子等大张旗鼓进行攻击、售卖的病毒已经越来越少,而以猫癣下载器、宝马下载器、文件夹伪装者为代表的“隐蔽性”顽固病毒频繁出现,同时小范围、针对性的木马、病毒也已经成为新增病毒的主流。
一、2009年中国互联网安全情况整体分析
2009年,计算机病毒和木马处于一个“低调增长期”,虽然一些类似熊猫烧香的重大恶性病毒越来越少见,但一些小范围、针对性强的新病毒、木马的数量依然在飞速增长。据金山毒霸“云安全”中心监测数据显示,2009年,金山毒霸共截获新增病毒和木马20684223个,与2008年相比增加了49%。下图为近几年来的新增病毒和木马数量对比
在新增病毒中,木马仍然首当其冲,新增数量多达15223588个,占所有病毒重量的73.6%。黑客后门和风险程序紧随其后,这三类病毒构成了黑色产业链的重要部分。而且网站挂马的现象也显著增加。从2009年开始,金山网盾对互联网网页挂马进行全面监控。据不完全统计,全年共检测到8393781个挂马网站。此外,欺诈类钓鱼网站的数量也在09年下半年迅猛增长,仅12月,金山网盾共拦截钓鱼网站多达1万多个。下图是不同类别病毒和木马比例图
2009年,根据金山毒霸“云安全”中心监测数据显示,金山毒霸在09年共拦截病毒8440631705次(约84亿次)。全国共有76409010台(约7600万台)计算机感染病毒,与08年的感染量相比增加了13.8%。其中广东、江苏、山东三地的病毒感染量位列全国前三位,总感染量占到全国感染量的25%。全国各省的计算机病毒感染量如下表
二、2009年病毒、木马技术特点的简单分析
第25次中国互联网络发展状况统计报告显示,截至2009年12月30日,中国网民规模达到3.84亿人,普及率达到28.9%。网民规模较2008年底年增长8600万人。迅速发展的互联网行业背后,黑色产业链的发展也日益猖狂。据金山安全实验室统计,威胁的数量增长惊人,达到300%,于此同时2009年黑色链也发生了深刻的变化。
1、浏览器首页劫持产业链形成
随着政府及安全厂商的围剿,在2007年到2008年大发异彩的挂马集团已经日尽余辉。在利益的趋势下,一支新型黑色产业链逐步形成,它们风险更低,手法更容易实现,已经成为互联网用户新型的安全威胁。
最显著的改变就是浏览器首页劫持产业链在2009年发展成型。从金山安全实验室监测到的数据来看,进入2009年,由于对挂马类病毒的打压,挂马集团通过挂马的方式,使网友中毒的几率越来越小。这就迫使木马产业从业者不得不想尽办法,开始改变方向:欺骗下载+恶意推广+劫持浏览器入口。
从2009年4月开始,修改主页、锁定主页的病毒增速明显。到2009年年末,通过挂马传播的木马数量在整体木马传播量中的比例下降到了40%以下。与此同时,修改主页病毒传播的比例迅速飙升到50%以上,成为木马感染网民电脑的主力渠道。
修改主页、锁定主页的病毒增速异常的背后,是木马集团盈利模式的重大转变。金山安全实验室最先披露的以“灰鸽子”为代表的制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱的黑色产业链,发展到2009年,随着金山网盾类浏览器防护工具的日益成熟,使得网站挂马成功的概率大大降低。病毒产业链里,通过购买流量实现大范围的挂马成本过于高昂(可能中招的几台电脑里得到的收益还不够支付流量费),因此浏览器首页劫持产业链成为盈利主流。据金山安全实验室反病毒专家预测,2009年木马产业规模将超过百亿。
2、流量商成为黑色产业“大佬”
金山安全实验室反病毒专家解释,在浏览器首页劫持产业链条上,病毒制作者并不是最赚钱的,流量商是这个链条获利最大头。流量商在这个链条中处于承上启下的作用,“就像一个产品,生产厂家的利润可能最后还没大卖场多。”
浏览器首页劫持产业链主要有以下几点组成:
产业链的三个环节
和挂马产业链相比,该产业链的技术门槛很低,浏览器劫持的生产代价非常低,广告推广的获利却巨大,投入产出比大为提高。
以2009年十大病毒中的广告木马(Win32.Troj.Agent.dv.131072)为例,该类木马挟持百度,搜狗,谷歌等著名网站,指向病毒作者指定的服务器222.189.207.206,从而赚取流量,甚至诱导用户点击钓鱼网站。
大型网站每天被用户访问的概率非常大,因此广告木马通过修改hosts文件域名挟持大型网站。可以快速获得流量,按照1分钱一个IP来计算,大型网站按每天千万IP计算,流量商通过出售流量每天就可以获得十万的收入。
3、罪恶黑手伸向下载市场欺诈下载异军突起
金山“云安全”中心监测数据来看,2009年下半年欺诈下载的感染比例超过挂马,成为2009年的流行趋势。意味着从2009年,木马产业将罪恶之手伸向了下载市场。
欺诈下载的软件品种广泛,不仅包括桌面伴侣(快快捷,桌面图标秀,果果工具条,苹果工具条等名称),还有山寨浏览器(绿叶浏览器,飞游浏览器,绿色浏览器等)、脚本推广器(通常使用一些脚本释放各种快捷方式到用户电脑,有下载其他软件的行为)及其他软件游戏程序,coopen,风行等。
正因为欺诈下载的流行趋势,各大搜索引擎的关键字成为了他们争夺的对象,而且投放的木马更有针对性。例如在百度上搜索“地下城与勇士外挂”,前几个连接大多是有盗号或者恶意的网址,最多的时候前20个搜索结果中有11个是恶意网址,并且排名都靠前。
另外一种欺诈是在下载站点中有大量的连接,其中真正的连接很难找到,而大部分连接是欺诈型连接。
此类欺诈下载,多伪装欺骗式链接来赚取广告联盟广告费。更为恶劣的还有捆绑流氓软件,用户误操作之后,浏览器主页可能被篡改,各类盗号、流量劫持,强弹广告、远控木马等后果将随之发生。
欺诈下载的传播流程:
欺诈下载软件的特点(大-中-小每层的传播都各有特点):
1)实力派(有后台,资金充裕,通常以广告的方式推出)--大型软件下载网站广告推广。比如go2000 在华军 天空之类推广的桌面伴侣流氓软件。
2)演技派(找出真的下载地址需要绝大的毅力和运气)--中小型下载网站诱导。 比如导航站te99.com的欺诈,通常是以大大的下载图标诱导用户。
3)偶像派(没有真的,全是假的)--伪下载站推广。比如修改主页为a1个人导航的推广,提供该类下载的网站本身不提供任何有价值的下载,下载的流氓软件通常更加恶意,甚至包含盗号木马。
4、钓鱼网站大量出现
2009年出现的钓鱼欺诈网站非常多,比如有的假冒央视“非常6+1”栏目的官方网站,然后通过手机短信或飞信进行大范围传播。不法分子首先盗用他人的“飞信”账号,然后向其好友发送大量的诈骗信息,谎称用户获得高额奖金或奖品。从而诱骗用户访问虚假的钓鱼网站,并通过要求用户输入验证码、提供咨询电话、提供公证书查询等手段使得骗局更具迷惑性。用户如果访问了这些钓鱼网站,并按照网站提示填写真实信息,则会导致敏感信息的丢失甚至蒙受经济损失。
三、2010年病毒和木马技术发展趋势预测
1、0Day漏洞层出不穷
0Day漏洞仍然是黑客入侵的主要方式,新年伊始谷歌被入侵事件就证明了这一点。由于0Day漏洞和安全补丁的推出,这两者之间在时间上有一段空白期。所以黑客可以利用这段时间,大规模的入侵计算机用户的电脑系统,从中获取大量有价值的信息内容。正是由于0Day漏洞的巨大威力,以及可以从中获取大量的经济利益,因此黑客必然会更加挖掘系统和软件中的0Day漏洞,尤其是像Windows 7操作系统等可能存在的漏洞。
2、网页挂马、钓鱼网站将继续增加
网页挂马已经成为木马、病毒传播的主要途径之一。由于各种系统漏洞和软件漏洞的存在,因此通过挂马进行入侵的数量会继续增加。黑客在入侵网站系统以后,通过篡改网站网页或数据库的内容,就可以植入各种各样的下载脚本代码。用户只要浏览被植入木马的网站,如果系统存在漏洞就会遭遇木马入侵,从而造成个人信息和网络财富的损失。不过现在金山毒霸已经开发出,一款免费专业的浏览器保护工具——金山网盾。计算机用户可以通过下载安装“金山网盾”,避免自己的系统受到网页木马的攻击和入侵。
3、木马捆绑东山再起
随着网络用户对网页挂马认识的提高,造成通过网页挂马入侵的可能有所降低。但是与此相反的是通过传统的文件捆绑,进行入侵的事件则成明显上升的趋势。黑客通过将木马病毒,和图片、FLASH动画、文本文件等进行捆绑。然后再配以迷惑性的文件图标,这样用户稍不注意就可能上当受骗。而且现在最新版本的捆绑软件,不仅可以完成木马病毒的捆绑,有的还可以增加文件属性等虚假信息,而且更加增加了用户进行识别的难度。
4、无线攻击快速增加
随着3G时代的来到,智能手机、上网本、无线路由器等无线接入设备,开始成为黑客攻击的全新目标。现在网络中已经出现大量无线破解的技术,轻则可以让攻击者免费的蹭网,重则可以通过ARP攻击植入木马窃取信息。除此以外,利用手机短信或者移动飞信,进行诈骗的事件也会越来越多。(编选 中国电子商务研究中心)
