上半信息安全威胁综合报告Word格式.docx
《上半信息安全威胁综合报告Word格式.docx》由会员分享,可在线阅读,更多相关《上半信息安全威胁综合报告Word格式.docx(16页珍藏版)》请在冰豆网上搜索。
自2005上半年至2009上半年病毒数量分别为12万个、15万个、23万个、132万个、265万个。
从中可以看出自2005年上半年到2009年上半年,病毒数量增长趋势呈倍数增长,由2005年上半年12万个迅速的增长到了2009年上半年的265万个,这与我国的计算机事业发展迅速有一定的关系。
1.2.2008~2009年上半年同期新截获的各类病毒对比图
可以看出09年上半年的木马、后门类数量较08年上半年有所增长,病毒类和蠕虫类数量有所回落,主要是由于今年网络病毒的传播以网站挂马方式为主,而挂马后传播的病毒以木马、后门类为主。
致使木马类和后门类自2007年下半年至2009年上半年一直都比上一年同期增长幅度大。
1.3.2009年上半年新截获各类病毒占比
木马类别一直占据着主要的比例;
病毒类、蠕虫类可以说是平分秋色;
后门类有所减少。
木马类之所以占据的比例较大,是由中国黑客的转型所导致的,据有关消息透漏:
一个制作木马类的技术人员年利润可在千万,这已经不是一个秘密。
正因为如此,致使部分传统的黑客经受不住利益的诱惑,纷纷投入到“造毒”大军。
1.4.2009年上半年各月新增病毒统计
09年新年后迎来了首个病毒低谷时期,在4月以后病毒数量有所回升,6月呈现持平状态。
在1月、2月正值各大高校寒假时间,也正是网络游戏最火爆的时间,使木马传播者也会日夜不停的赶工,来获得一顿丰盛早餐。
相信在未来的7月、8月暑期期间病毒将会再度出现高峰期可与年初匹敌。
1.5.2009年上半年每月各类病毒数目统计
木马类的走势高高在上,一直处于领先的地位;
其中后门类呈现平稳趋势,病毒类、蠕虫类并驾齐驱。
Xfile类有下降趋势。
总的来说2009年上半年各类病毒总体上升趋势可以用一个词形容——一波三折,形成该现象主要与微软系统频报漏洞以及第三方软件漏洞不断被公布有关。
下图为去掉木马后的微观走势图:
1.6.2009年上半年典型病毒排名
排名
病毒名称
1
Virus/Win32.Sality
2
Trojan/Win32.OnLineGames[GameThief]
3
Net-Worm/Win32.Kido
4
Trojan/Win32.Agent[Downloader]
5
Trojan/Win32.Generic
6
Trojan/Win32.Patched
7
Virus/Win32.Virut
8
Trojan/Win32.Hmir[Downloader]
9
Trojan/VBS.Agent
10
Packed/Win32.Krap
以上十大病毒的特点及传播方式:
1)Virus/Win32.Sality
病毒特点:
一种多形态病毒,感染Win32PE可运行程序。
它还包含特洛伊的成分。
传播方式:
通过pe文件感染、通过网络共享传播,其中一些变体不感染大小在4K以下或者在20M以上的文件。
2)Trojan/Win32.OnLineGames[GameThief]
病毒特点:
专门盗取网络游戏玩家的游戏账号与密码等信息。
通过WEB、邮件方式回传信息。
通过网站挂马、下载器下载、文件捆绑方式传播。
3)Net-Worm/Win32.Kido
创建特定系统服务,部分变种并伴有下载其他病毒文件能力,文件感染。
利用系统漏洞,文件共享,web挂马。
4)Trojan/Win32.Agent[Downloader]
通过后台连接网络并在指定URL下载其它病毒文件。
通过网页恶意脚本、即时聊天工具、电子邮件附件方式传播。
5)Trojan/Win32.Generic
pe文件感染,会破坏系统正常运行。
6)Trojan/Win32.Patched
盗取用户信息,部分变种带有感染系统pe文件能力。
通过pe文件感染、网站挂马、下载器下载。
7)Virus/Win32.Virut
pe文件感染、部分变种具有下载能力。
通过pe文件感染、U盘传播,网站下载。
8)Trojan/Win32.Hmir[Downloader]
创建系统驱动、部分变种反制杀软,下载病毒文件。
9)Trojan/VBS.Agent
采用VBS脚本语言编写,并经过加密处理,反制杀软,下载其他病毒。
10)Packed/Win32.Krap
病毒为木马行为、安装键盘/鼠标钩子监视用户操作,为辅助型木马。
二、2009年上半年网站挂马统计与疫情分析2.1.2009年上半年挂马统计
从图中可以看出五月为挂马的一个相对高峰期,从而导致在09年上半年的各月病毒排行榜中表现为相应的增长,致使木马类和后门类病毒的数量会比其他病毒的数量上升的要快。
六月后会有所上升,会达到一年内的最高峰,届时也是新增病毒数增长最快的时期。
该图中罗列了网马经常利用第三方软件漏洞和微软漏洞的占比,其中包括比较新的ms09-002、暴风影音、RealPlayer、AdobeReaderPDF漏洞,以及比较早的经典漏洞。
上图为09年上半年挂马者利用的域名系统,其中以美国的3b3.org、为首,其次是广东的最为挂马者的青睐。
其中3b3.org、各占20%,占据了13%,从而可以看出国外的域名系统是挂马者最常用来挂马的。
因此,应该加大对此类网站的管理和防范工作。
2.22009年上半年挂马疫情分析
1)判断域名
该类别的挂马是有选择性的,并不是网站具有挂马漏洞就把这个网站挂上木马,相反他们是选择具有高流量、高信誉度的网站进行挂马。
挂马者会通过判断域名,避重就轻,从而选择是否在某网站挂马。
下面是一个判断域名的例子:
黑客通过向该网站注入恶意链接(http:
//3b3.org/c.js),来判断调用恶意链接的页面是否包含域名“”与“”。
如果包含两者其中任意一个域名,便不会跳转到网马链接。
下面是对恶意链接(http:
//3b3.org/c.js)的分析:
很显然,数组成员“”在字符串“”里,则tmpdomain=1,进而也就不会打开恶意网站链接(http:
//4y553r7.8866.org/a/a100.htm)。
2)高校网站挂马
根据安天实验室的一份高校网站黑客入侵统计显示,在国内121个重点大学和487个普通大学中,86%的高校网站曾因为存在漏洞而遭到黑客入侵。
他们并不会因为自己是名牌大学而幸免。
下面是09年上半年各大高校网站挂马统计:
3)类域名挂马
该类域名为政府类型的域名系统。
挂马者找这种域名进行挂马,是由于浏览者会相信这类网站为政府网站会很安全。
从而就会降低浏览者的防御能力,使得用户单方面认为只要是这类域名的就一定安全,用以欺骗用户不做防范的浏览访问。
下面是近期发现的域名挂马列表:
三、2009年恶意行为盘点3.109年上半年病毒常用的破坏手段
1)感染文件
病毒程序通过查找特定文件(例如:
PE文件,HTML文件等)中的空余空间,将自身代码插入到该空间;
由于系统在运行程序时首先加载文件首部,病毒通过修改文件首部使其在加载过程中执行自身代码,当病毒代码被完全执行后再去执行正常程序。
由于该类病毒存在于文件中,可以通过文件共享等传播,同时具有了一个长期稳固的生存环境。
2)破坏注册表
注册表是为Windows中所有32位硬件/驱动和32位应用程序设计的数据文件。
在没有注册表的情况下,操作系统不会获得必需的信息来运行和控制附属的设备和应用程序及正确地响应用户的输入。
病毒通过修改注册表添加恶意启动项、映像劫持某些反病毒程序和系统监控程序,使得无法对已中毒系统进行检测。
修改隐藏文件显示,使得该项无法启动,以达到隐藏病毒自身的目的;
恶意篡改IE首页。
3)破坏系统安全性
关闭系统防火墙、关闭系统自动更新、恶意修改系统时间以及劫持任务管理器等进程类工具,屏蔽注册表运行,屏蔽系统cmd命令,破坏系统安全模式、磁盘格式化等一系列降低系统安全性和损坏系统的操作,从而使得病毒或者入侵者能够顺利的达到不可告人的目的。
4)劫持第三方安全软件
凡中毒的用户都会碰到这样的一个问题,自己所使用的安全软件已经无法运行,系统即使重新启动也不(能)自动运行了,手动启动也没有反应,甚至情况好点的只是一闪即逝的状况,那么出现这种情况就是病毒所为了。
他们会通过查找窗口标题、系统进程、修改注册表创建错误的文件关联等使得本应运行的安全软件无法运行。
5)窃取信息得到控制权
如果病毒一旦入侵成功就会执行由病毒作者事先预设的指令,可以获取账号密码信息,例如QQ、网络银行、系统管理员、网络游戏等;
也会自动连接恶意网址、后台打开IE程序下载恶意程序,该类的典型病毒为疯狂下载者病毒;
破坏文件、感染文件达到长留系统目的。
3.2QQ信封经济体系
如果我们经常浏览一些有关黑客的bbs或者blog的话就会看到一些术语,其中就包括QQ类别的,例如洗信、死保号、散币等;
QQ信封就是黑客通过非法手段(例如放木马、入侵别人电脑、窃取局域网信息)非法获取的QQ号码和密码,以万为单位保存的信息文本。
信封又分为一手信封、二手信封以及N手信封。
一手信封就是原始的,黑客将盗来的QQ号码和密码不经过任何工具,随机储存的。
二手信封就是已经被黑客工具将里面有价值的号码取出,所剩下的号码。
洗信就是通过一
升级会员 