|互联|

瑞星2010上半年互联网安全报告(2)

发布时间:2010-08-04 13:37 作者: 中国计算机安全来源: 中国计算机安全点击:加载中...次

　　随着此类病毒的不断变种，互联网上通过修改快捷方式、文件默认关联、软件图标等方式,引导网民到恶意网站的病毒已经越来越多，一些安全软件对如此频繁的变化根本无法有效解决，专家建议用户选择专业的瑞星杀毒软件和卡卡上网安全助手，有效处理以上问题。

　　第二，病毒利用假桌面或假关机等方式，切断杀毒软件与用户之间的交互，从而使杀毒软件失效。

　　通常杀毒软件在拦截或查杀病毒的时候都需要一个与用户交互的平台，而这个平台就是用户电脑桌面，当一个病毒运行后，杀毒软件监控进行拦截，不论是按照默认设置或弹出窗口提示都是基于电脑桌面的，如果这个桌面没有了，所有的这些拦截就无法生效，也就是说杀毒软件没有用了。例如，桌面闪客病毒 (Trojan.PSW.Win32.DesktopFlasher.a)，该病毒运行后会自己建立一个桌面把用户正常桌面替换，从而使杀毒软件失效。

　　第三，“特种木马”在政府机关等单位的网络中肆虐。这种类型的木马病毒会将U盘中的文档拷贝复制到电脑中，然后通过整个局域网传播，将文档复制到网络中的每一台机器上，并发送给黑客，从而使国家机密或企业内部重要文档遭到泄露。

　　二、挂马网站

　　1、挂马网站概述

　　瑞星“云安全”数据中心的统计表明，2010年上半年截获的挂马网站(网页数量)总数目为2666万个，比去年同期下降了90%。这是因为瑞星软件客户端“防挂马”技术的应用，以及把“云安全概念”成功应用到了数百家互联网主要厂商之中，两者相加取得的结果。

　　2010年上半年，黑客通过挂马网站攻击用户的成功率大幅度下降，挂马网站攻击总次数近1.4亿次，比去年同期下降了85%。同期，尽管微软操作系统及其相关软件被曝了45个漏洞，但并未给总体的挂马网站安全带来负面影响。

　　从数据来看，0Day漏洞是黑客进行网站挂马的主要方式之一，黑客通常利用0day漏洞补丁发布之前的空窗期(*注)，大规模入侵用户的电脑系统，从中获取大量有价值的信息内容。微软3月份发布的漏洞“KB981374”是黑客挂马最常使用的漏洞之一。

　　注：系统漏洞、软件漏洞在网络上被曝光之后，厂商需要一段时间来开发补丁程序，在对其进行测试后发布，而曝光和发布之间的时期，被称为“空窗期”。

　　2、挂马网站及相关数据统计

　　瑞星“云安全”数据中心2010年上半年的监测数据，统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量，截获到的挂马网站(以网页个数统计)数目总计26658919个，拦截次数总计138479564次。

　　2010年上半年，瑞星“云安全”数据中心已拦截到138479564人次访问挂马网站，每天平均访问人次达769331次。也就是说，平均每天有近77万人次网民访问过恶意网页。

　　挂马网站：指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。

　　木马网站：是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中运行。

　　4、木马网站域名

　　瑞星“云安全”数据中心截获的数据表明，2010年上半年被拦截的木马网站域名类型排行如下图，排名第一是【.org】，拦截量达 14505013次，有81.5%的木马网站使用，前五名中排名紧随其后的域名依次为【.com】、【.cn】、【.info】、【.com.cn】。

　　通过数据分析发现，2009年上半年木马网站域名第一位的是【.cn】域名，拦截量达10402029次，【.org】域名排在第三位，拦截量达1418128次。2009年底国家停止个人用户cn域名注册后，黑客开始利用【.org】域名作为木马网站的地址，这就是【.org】域名快速成为黑客最常用的木马网站域名的原因。

　　5、网页挂马的主要方式

　　网站挂马，是指黑客利用网站程序或者语言脚本解释的漏洞，上传一些可以直接对站点文件进行修改的脚本木马，然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改，通常是frame或者script，也存在一些其它挂马方式比如病毒下载、伪装挂马、CSS挂马等。

　　通过瑞星云安全监测显示，2010上半年的挂马方式主要以“JS挂马”为主，每个月均占60%左右。同时通过图表数据可以看出，框架挂马方式呈上升趋势，这种挂马方式相对比较隐蔽，不容易被察觉。相反，由于杀毒软件主动防御的强大功能，病毒文件下载到本地后会被监控发现并直接清除，因此通过病毒下载的挂马方式正逐渐减少。主要挂马方式所占比例如下图所示：

　　三、网络钓鱼

　　1、网络钓鱼概述

　　网络钓鱼(英文为Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击)，传统意义上指的是利用伪造银行网站的方式，窃取用户银行帐号的行为。但随着网络应用越来越复杂，中国互联网上出现了很多对其“发扬光大”的诈骗形式。比如在2008年5月，汶川地震期间，就有黑客仿造“中国红十字会网站”，企图骗取捐款。

　　瑞星认为，凡是企图利用人们对著名品牌、网站和机构的信任，通过网络进行诈骗活动的行为，都可以称为“网络钓鱼”。由于绝大多数钓鱼网站无木马病毒或恶意代码，所以安全厂商通过技术手段很难全面监控并及时去除处理钓鱼网站的威胁。

(责任编辑：)