上半年中国互联网安全报告Word格式.docx

1、每天活跃的钓鱼网站数量在10万家以上，根据其诈骗手段和攻击数量、攻击成功率估算，网络钓鱼给网民和社会带来的直接与间接经济损失超过了120亿元。目录一、2010年上半年木马病毒疫情1、木马病毒的增长趋势2、网民电脑受木马病毒攻击的情况3、360查杀木马病毒数量4、主要木马种类及流行性分析5、360查杀量最高的木马TOP106、木马“进化论”和典型案例二、木马病毒的传播方式1、木马传播途径统计2、遍布“地雷”的不良下载站3、数码产品普及加剧U盘木马和病毒传播4、挂马网页攻击缓解5、重要安全漏洞三、2010年上半年钓鱼网页统计分析1、钓鱼网页诈骗手段解析2、钓鱼网页的类型3、钓鱼网页的传播方式4、新

2、增钓鱼网页数量5、钓鱼网页服务器地域分布一、2010上半年木马病毒疫情1、 木马病毒的增长趋势2010上半年，360“云安全”系统共截获各类新增木马病毒样本1.01亿个（以新增的恶意程序文件指纹数量计算），相比去年同期增长了3.5倍。尤其在5月和6月，流氓广告程序带动了新增木马病毒数量大幅上升。图1：2010上半年新增木马病毒数量2、 网民电脑受木马病毒攻击的情况通过360“云安全”系统的监测数据、国内安全软件普及情况以及木马病毒的传播范围测算，国内平均每天约有263万网民电脑感染木马病毒。图2：感染木马病毒的网民电脑数量3、 360查杀木马病毒数量以清除的恶意程序文件数量计算，360安全卫士

3、和360杀毒在2010年上半年累计为用户查杀了88亿次木马病毒，而去年同期的这项数据为20亿次，增长3.4倍，和木马病毒的新增倍数基本符合（后者相比去年同期增长了3.5倍）。图3：360查杀木马病毒数量按照木马病毒的流行度统计，以恶意点击器为代表的流氓广告程序、网游盗号木马、QQ盗号木马、远程控制木马（控制“肉鸡”）、木马下载器、恶意脚本程序、伪装文件（文件夹）类U盘病毒是感染量感染量最高的七大类木马病毒。其中，流氓广告程序是网民最常遇的一类木马，它的主要危害是绑架浏览器首页和桌面图标，强制访问不良网址导航。在网民电脑遇到的各种安全问题中，流氓广告程序所占的比例约为70%。2010上半年，超过

4、100家大大小小的网址导航站使用了木马渠道进行推广，强制篡改中招用户浏览器首页。此外，大量木马恶意推广淘宝客、网页游戏、在线影院等网赚项目，在电脑桌面制造广告图标，使用技术手段让用户难以删除。流氓广告程序之所以在2010年数量暴涨，一个重要原因是“小耗子”木马案引发连锁反应。2009年底，警方通过“小耗子”木马案挖出完整木马产业链，有着国内最大“黑客培训基地”之称的黑鹰安全网关闭，大批从事计算机犯罪活动的不法分子入狱。在严打震慑下，很多木马团伙转向法律风险相对较低的流氓广告程序，而不良网址导航站则成为这类木马的经济后盾。5、360查杀量最高的木马TOP10榜图4：360木马查杀榜top10在2

5、010年上半年十大木马病毒中，排名第一的Win32/Lmir.KB是一类专门劫持dll文件的木马程序，常见于“犇牛”等恶性木马下载器中，360对这类木马的查杀量约为3833万次；排名第二的TR/Hijacker.Gen则是一类对抗安全软件的顽固木马；其它查杀量较高的木马包括了多种篡改IE首页木马和盗号类木马。在巨大经济利益驱动下，尽管新木马源源不断出现，但是在3亿用户和上万台服务器的360云安全体系下，木马生存空间越来越小，存活周期越来越短。主要原因在于，360安全卫士和360杀毒的“云查杀引擎”采用了白名单和黑名单相结合的机制。传统杀毒技术是基于病毒库黑名单的防护和查杀，而360云查杀一方面

6、能查杀黑名单中的已知木马病毒，另一方面对系统敏感位置采用了“非白即黑”策略，也就是说，白名单以外的未知程序无法自动运行并产生危害，使用户电脑的安全性得到革命性的提升。同时，360白名单覆盖了99%以上国内网民常用的操作系统和软件的各个版本，在大幅超越传统杀毒技术查杀能力的情况下，还能有效防范误报误杀。在此背景下，木马技术也悄然发生了一些“进化”：1）从各个方面破坏安全软件，比如阻止安全软件的安装和运行，暴力关闭安全软件的监控，屏蔽云安全服务器，使用户无法正常使用云查杀功能。典型案例：“呜呜祖拉”木马下载器。该木马在世界杯期间流行，电脑一旦中招，该木马会自动阻止用户下载安装360安全卫士、360

7、杀毒以及360系统急救箱等专业安全软件，并通过劫持DNS解析的方式屏蔽云安全服务器。2）攻击流行应用软件。利用寄生、感染、改装等方式，木马把输入法、浏览器、聊天工具、下载工具等流行应用软件当成了逃避查杀、隐蔽启动的“保护伞”，甚至某些安全软件的漏洞也被木马利用，篡改锁定受害网民电脑的浏览器首页。金锁木马。从今年4月份开始，一类名为金锁的木马开始流行，它们利用某安全软件的漏洞，把该软件的Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe提取出来，再在配置文件kws.ini中写入了黑客想推广的任意恶意网址，就会让中招用户电脑每

8、天被迫访问这些恶意网址，而且很难修复。3）MBR感染（感染系统引导区），格式化硬盘也无法清除。电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件，由于这个空间是隐藏的，杀毒软件无法对此进行扫描，一些木马开始采用Rootkit技术感染这一系统引导区。鬼影/魅影木马。该系列木马通常和“飓风影音”播放器捆绑在一起，通过MBR感染具备了极强的复活能力，能够反复下载盗号木马和流氓广告程序攻击中招电脑。4）利用数字签名来逃避查杀，相当于有“身份证”的木马。由于大多数杀毒软件会信任带有真实数字签名的文件，一些木马也开始利用数字签名进行掩护。木马使用数字签名有两种情况，一种是盗用正规软件厂商外泄的签名，另一

9、种是专门为作恶而注册签名。2009年底，360安全中心率先截获了首个具有真实数字签名的“执照凶手”木马。进入2010年，这类带有数字签名的木马仍然在不断涌现，例如一个名为“桌面推广助手”的木马下载器，它在运行后会自动下载两个木马程序，并自动下载安装某款浏览器以及某款网络游戏大厅客户端。新生代木马对安全行业提出了严峻挑战，为此，360安全卫士推出能够全方位、多层次安全防护的“木马防火墙”，在“系统防护”之外新增了“应用软件防护”，同时针对木马的传播途径、攻击手段、感染方式进行全面拦截，并不断强化安全软件的自我保护能力，修复防御弱点，目前已经取得了良好的成效。图5：360云安全数据中心二、2010

10、上半年木马病毒的传播方式根据360安全中心监测的情况，2010上半年，木马病毒主要传播途径依次为网络下载、USB设备感染、挂马网页攻击。网络下载包括不良下载站的恶意下载链接和其它文件共享/传输方式，是目前木马病毒感染网民电脑的最主要方式，比例约为55%。其次为USB设备感染，主要是移动硬盘、U盘、数码相机、手机存储卡等USB设备和电脑间交叉感染，比例约为30%。得益于360安全卫士的普及和网民打补丁意识的增强，今年上半年通过挂马网页传播的木马病毒比例仅为10%左右。值得注意的是，黑客已经发现挂马攻击对于360用户徒劳无功，绝大多数挂马网页（超过8成）会自动检测访问者电脑中是否装有360安全卫士

11、，如果是360用户则主动放弃攻击。图6：2010上半年木马病毒传播途径图7：挂马网页攻击代码图8：遍布地雷的不良下载站这是某家知名软件下载站的下载页面。当网友想下载Adobe Photoshop软件时，面前的下载链接让人眼花缭乱，上图中标注了编号为1、2、3、4、5的五个图片按钮，鼠标点哪个钮能下载到Photoshop呢？答案是：都不能！这五个图片下载按钮全部指向了一个共同的流氓广告程序，也就是近期非常流行的金锁木马。无论点哪一处，网友以为下载了Photoshop，其实一打开却是金锁木马。它会篡改并锁定中招电脑IE首页为67160网址导航，并在电脑桌面生成恶意广告图标。为什么下载站敢于如此肆无

12、忌惮地传播流氓广告程序？利益诱惑恐怕是少不了的。另外，流氓广告程序本身也缺乏相应的法律监管，比传播盗号木马等直接盗取帐号和隐私的木马病毒风险小得多。有了大批下载站助纣为虐，这才是广大网民IE首页频繁中招的真实原因。对于网络下载风险加剧的情况，360全线产品相继完善了防护功能。其中：360杀毒软件支持迅雷、快车等主流下载工具，即时扫描下载文件的安全性，并支持QQ、MSN、阿里旺旺等聊天工具的文件传输扫描；图9：360杀毒查杀界面360安全卫士的“360网盾”模块具备“下载云安全”功能，可以快速检测鉴定IE、迅雷等下载的文件是否安全，并作出相应的操作建议；图10：360网盾下载云安全界面360安全

13、浏览器3.5Beta版自身也推出了能够检测下载链接的防护功能，在文件下载之前对危险下载行为进行预警。图11：360安全浏览器下载保护手机、数码相机、移动硬盘等数码产品普及，手机和电脑间、数码相机和电脑间少不了传输文件，比如音乐、照片等等；移动硬盘则被用来拷贝影视剧视频、大型游戏；对很多办公族和学生族来说，在打印店打印资料时也不得不用到U盘。在日益频繁的应用中，USB移动存储设备成了仅次于网络下载的第二大木马病毒传播途径，如果有一台电脑或是移动存储带有木马病毒，就会在接入USB设备时发生“接触”感染，继而就是大面积的交叉感染。目前U盘病毒主要以两种方式传播：第一种是伪装U盘上的正当文件或者文件夹

14、，把真正的用户资料隐藏起来，再诱使用户打开病毒的程序或是脚本；第二种则是利用系统“自动播放”功能的autorun类U盘病毒，但由于很多安全软件会提示用户关闭“自动播放”，这类U盘病毒已经不再流行。所幸的是，360杀毒软件针对U盘病毒的传播方式独创了“U盘病毒监控技术”，只允许经过安全认证的可信程序在USB设备中运行，其它陌生程序和脚本则一律禁止运行。因此即便是最新病毒，也无法通过USB设备感染360杀毒用户的电脑。图12：360杀毒U盘保护2010上半年，每天约130万人次受到挂马网页攻击，仅为去年同期的1/9，黑客通过挂马网页传播木马的势头已经大为减缓，但并不排除在新的高危0day漏洞爆发时

15、，挂马网页会重新成为木马传播的主流途径。黑客在使用挂马网页传播木马时，挂马网页是木马攻击网民电脑的前线，通常是黑客通过入侵、收买等方式挂马，一般是人气较高的网站；木马网站则是黑客用于存放和部署木马下载、更新的网络站点。也就是说，如果一台电脑既没有打补丁修复漏洞，也没有安装360安全卫士进行防护，当它访问挂马网页时，电脑就会自动下载运行黑客存在木马网站上的木马。360安全中心监测到：今年1至6月间，国内共有80.53万个网站存在挂马情况，恶意链接最多的不再是.cn域名，而是.com域名，这和国家有关部门对CN域名加大管理力度有关。此外，和的安全情况不容乐观，各有2千多个网站被挂马。从挂马网页的地

16、域分布来看，北京、江苏、广东、上海、浙江、福建是比例最高的几个地区。同期，360安全中心共捕获到18364个木马网站。木马网站使用最多的是org域名，比例为49.10%，如3322.org、8866.org等二级免费域名是木马网站经常使用的。今年上半年，木马网站也转向了更多其他域名上，比如fr、co、cc等等。图13：挂马网站、木马网站数量及地域分布IE极光漏洞：2010年1月，Google等高科技公司被曝遭到黑客攻击，始作俑者就是IE极光漏洞。1月17日，国内互联网出现攻击该漏洞的挂马网站；1月18日，360紧急提供临时补丁；1月22日，微软发布正式补丁修复了漏洞。HCP协议漏洞：2010年

17、3月，微软证实IE浏览器存在一个“F1按键漏洞”，该漏洞需要网民主动按下F1键才能触发攻击，因此互联网上仅出现了少量针对该漏洞的零星攻击，360通过升级拦截规则进行防御。4月，微软正式发布补丁修复了该漏洞。IE内存破坏漏洞：2010年3月，IE浏览器再次曝出“内存破坏”0day漏洞，并成为今年国内挂马网站最热衷攻击的对象，而360网盾无需升级即可拦截该漏洞攻击。在漏洞曝光20天之后，微软于3月31日修复了IE内存破坏漏洞。2010年6月，微软证实Windows XP系统存在HCP协议漏洞，利用该漏洞，挂马网页的恶意脚本会自动打开Windows“帮助和支持中心”，从而下载并运行木马，360再度发

18、布临时补丁屏蔽了该漏洞攻击。根据微软公布的数据，中国网民受该漏洞影响极小。在漏洞曝出后一个月，微软于7月中旬发布补丁进行修复。三、2010年上半年钓鱼网站统计分析钓鱼欺诈成为仅次于木马的严重危害。今年上半年，钓鱼网站数量平均每月新增11630家，360平均每天为用户拦截约500万次钓鱼欺诈网页访问，而这两项数据仍处于高速增长状态，目前每月新增钓鱼网站数量已超过4万家。1、钓鱼网站诈骗手段解析以前，钓鱼网站就是指一些假冒官方网站页面的网站，比如假冒的银行登录页面、假冒的网络游戏官网等等。这些都是利用人们很熟悉的软件、网站、公司或机构的信息，来构造一个假的页面，等人们在这些网站上输入自己的帐号密码

19、来达到钓鱼的目的。近年来，随着网络应用的不断丰富，人们开始习惯于在网络上浏览、查找信息、购买商品，于是各种新的钓鱼形式开始不断涌现，而且这些网站也不仅仅是通过模仿官方页面来钓鱼，而更多的涉及发布虚假信息来达到欺诈的目的。2010年上半年，360安全中心共截获超过10万个域名涉及钓鱼欺诈，其中虚假中奖、各种彩票预测、股票预测、虚假购物是钓鱼欺诈中最多的类型。钓鱼产业链十分巨大，通过搜索、IM、广告，很容易进行传播，普通网民往往缺乏对钓鱼网站的了解，在交易或追逐金钱利益的过程中往往自投罗网。更有甚者，一些不法分子用群发短信、语音电话等方式，把很多原本不熟悉互联网的人也拖下水。相对于木马，钓鱼欺诈给

20、网络安全带来的问题更为复杂，商业利益经济利益掺杂其中，也给反钓鱼欺诈带来很多困难。为此，360安全中心正在不断加大反钓鱼欺诈的力度，通过360安全卫士和360安全浏览器拦截网上的各种钓鱼欺诈信息，保护用户的财产安全。图14：360安全卫士“网盾”功能对钓鱼网站的拦截提示图15：360安全浏览器对钓鱼网站的拦截提示（1）各种中奖骗局这些网站的内容以模仿游戏网站、QQ、CCTV等知名栏目、门户网站等发布中奖、奖励信息为主，冒充官方活动专区，页面和官方网站极为相似，用来骗取访问者的QQ、游戏账号密码或者是骗中奖者支付领取奖品的相关费用。图16：冒充CCTV“非常6+1”的抽奖活动页面（2）各种预测网

21、站这些网站会利用彩民梦想中大奖的心理，进行各种收费预测，网站上会列出很多预测准确的记录来骗取彩民信任，吸引彩民加入会员，购买所谓专家的预测资料，大部分网站还会打出中国福利彩票的官方字样，甚至还有不少是涉及六合彩、赌球方面的网站。彩民如果相信了他们所谓的预测号码、操纵比赛、预测比赛结果的骗局，往往都会损失惨重。图17：彩票预测欺诈网站（3）黑马股票的骗局这些网站会使用知名证券公司的名称，或者干脆使用一些不存在的证券公司名称来构建网站，网站以提供保证高额利润为诱饵，向股民推荐涨停股、黑马股，向被骗股民收取高额会员费、保密费，甚至是直接让股民投资给他们做代理炒股。受骗股民往往会损失几万或数十万。图1

22、8：股票类欺诈网站（4）虚假购物网站这类网站会在网民购物时出现在买家或卖家的QQ/旺旺上，买卖双方经常发送各种与商品有关的链接，而钓鱼网站就会掺杂其中，页面通常会模仿淘宝、拍拍、支付宝、财付通等与购物有关的网站，骗取账号密码或钱财。另外还有一些用极低价格来吸引顾客的购物网站，钻石、手表、手机、充值卡，也是涉及购物欺诈的一种。图19：冒充淘宝的虚假购物网站（5）仿冒官方网站登录无论我们在网络上做什么，最常遇到的就是需要输入注册账号，输入用户名、密码。各种模仿官方网站登录的钓鱼，仿真度非常高，和官方网站几乎是一模一样，IM、网络游戏、邮箱、购物网站、银行，几乎只要是可以登录的网站，就有相应的钓鱼网

23、站。图20：冒充腾讯游戏官网的钓鱼网站（6）仿冒的医疗、药品相关网站近年来，销售假药、劣质药品、假冒医疗机构的现象也时有发生，这类网站也是钓鱼欺诈的重要类型。这些网站的危害不止是骗人钱财，更重要的是会影响人的健康。图21：卖假药的欺诈网站（7）假冒的下载站这类假冒的下载站，往往有着和官方下载页面相似的页面，但是却提供含有木马的下载链接，这属于用钓鱼的方式来推广木马。图22：冒充知名游戏插件来传播木马的钓鱼网站（1）通过QQ、MSN、旺旺等IM客户端，发送钓鱼链接，链接往往具有迷惑性，会用与官方网站域名很相似的链接（2）在论坛、博客、微博、问答类网站等发布链接，往往会用“我知道一个特别好的网站”

24、等等的推荐方式。（3）通过邮件，假冒管理员来发送钓鱼网站。（4）在网站上制作假的仿冒QQ、360等知名软件的弹窗，吸引用户进入钓鱼网站。（5）在搜索引擎或一些专给钓鱼网站做广告的网站中投放广告，在用户搜索某些关键词时，容易进入广告链接。从360安全中心对钓鱼网站的拦截情况来看，在2009年，360每个月发现新增钓鱼网站数量大约是2000-3000个；到了2010年，这个数字暴涨了10倍。虽然很多钓鱼网站的生存周期很短，甚至几天就会废弃掉，但钓鱼网站的整体数量还是超过了10万家。今年上半年，360安全卫士平均每天拦截钓鱼网站访问人次达到了4747668人次，根据钓鱼网站暴增的趋势，这个数据在年底

25、必然会突破500万次。图23：2010年上半年新增钓鱼网址趋势从上图可以看到，在今年上半年过后的7月，360安全中心截获的新增钓鱼网址继续高速增长，单月达到35611家，说明钓鱼欺诈的风险仍然在进一步加剧。图24：国内钓鱼网站服务器IP地址分布根据360安全中心监测的情况，超过1/3的中文钓鱼网站把服务器放在了美国，单纯依靠法律监管很难遏制，安全软件必须全力帮助用户拦截钓鱼欺诈网页。目前，360安全中心已经建立了完善的钓鱼网站识别系统，能够快速发现并识别钓鱼网站，将其列入360云安全数据中心的“恶意网址库”。当网民使用360安全卫士或360安全浏览器时，就能自动拦截钓鱼欺诈页面，避免财产受到损失。