金山毒霸云安全中心数据显示:2011年钓鱼网站增速明显,下半年进入集中爆发期,2011全年新增钓鱼网站数量达到45万个,2011年12月当月新增钓鱼网站是1月份的两倍以上。2011年11月,金山毒霸拦截钓鱼网站次数达到11亿次,(而2010年最高峰也仅有1000万次),受影响网民约占总数的10%,网民平均每浏览14个网页就有一次遇到钓鱼网站。
2011年金山毒霸拦截新增病毒达到1230万个,较2010年呈现下降趋势,日平均拦截次数约500万次。2011年,钓鱼网站的拦截次数是病毒木马的5倍之多,钓鱼网站已经成为中国互联网安全的首要。
钓鱼网站的制造手法也呈现多样性和技术性,从直接复制伪造知名网站的页面,到利用XSS的漏洞、制造多次跳转来达成钓鱼的目的。
2011年,网购木马呈现增长趋势,表现十分活跃。网购木马经营者大多使用QQ、淘宝旺旺等聊天工具实施一对一的诈骗,隐藏性很强,成功率很高,危害性极大。2011年3月,知名互联网交互设计专家“一叶千鸟”网购被骗5万余元。
金山毒霸云安全中心数据显示,2011年,金山毒霸网购保镖日平均2000万次网购操作,日均覆盖500万网民。由于网购涉案金额具有金额小,取证难等问题,一旦难度极大。为此,金山毒霸推出了敢赔模式,用户在敢赔功能的情况下,由于钓鱼或者木马导致网购被骗,金山公司将进行赔付。
除了进行一对一的诈骗以外,部分网购木马还主要针对浏览器进行重点突破,2011年,金山毒霸经常截获网购木马主动推荐浏览器的情况,用户使用该浏览器进行购物,被害风险极大。金山毒霸提示用户,网购时请谨慎选择浏览器,如果浏览器第三方安全软件在用户网购时进行,请及时切换浏览器。
高性能智能手机和平板电脑市场份额的快速增长,以及手机购物、手机游戏等应用的风靡,引发了手机安全的爆发,电脑病毒制造者将主要诈骗阵地从PC转移到手机。
金山手机卫士云安全中心数据显示,2011年平台的恶意软件增长速度迅猛,据样本数统计,年均新增病毒数量比年初增长十倍。全年平台新增病毒数量23681个,用户1037万人,其中660万手机用户是在手机论坛或手机市场下载软件时中毒。
而智能手机的恶意软件类型也呈现多样化,从最开始的暗扣话费、订购服务、浪费流量、消耗电力,发展到窃取隐私和云端控制手机。2011年底,数以千万计的智能手机被曝植入CIQ手机间谍,一时引发全球瞩目。
软件漏洞也是黑客的另一个重要通道,2011年,数个智能手机管理软件的安全漏洞,平台手机接入无线局域网后,者可以轻易获得手机中存放的个人隐私数据。
2011年,恶意者利用人们社会心理而非技术手段实施欺诈的案例增长十分明显,这种趋势未来会愈演愈烈。防范这种社会工程欺诈和假冒社交熟人欺诈,仅靠安全软件不行,最关键的还在于网民要提高自己的安全意识。
恶意软件者往往通过盗取网民登录信息,利用热门的社会化微博、SNS社区等发送中、送礼或广告等钓鱼网站实施进一步的欺诈。由于社交多属于熟人网络,用户极易放松最终。
2011年金山毒霸捕获新增病毒1230万个,从新增病毒总量来看,这是自2010年来的再次下滑。
金山毒霸2012中集成的防黑墙功能会记录来源和次数。结果发现位于江苏、浙江、上海、、广东、、山东、共8个省市的源占到总次数的75%。
仔细分析源IP,发现有相当一部分位于IDC机房。表明,这些省份的服务器托管资源中有较多已被黑客控制,黑客使用这些系统对其他电脑发起。
每检测1000个文件有2~7‰的概率发现病毒,若按电脑台数统计,则大大高于这个数字。下图显示,每天有4%-8%的电脑上会发现病毒。
金山手机卫士云安全中心到2011全年平台新增病毒数量23681个,用户1037万人。从每天的样本数统计来看,1月份日均新增病毒20个,到12月份时,日均新增病毒数已突破200个,年均新增病毒数量比年初增长十倍。
对手机病毒种类进行统计,可以看出,恶意广告的比例增速最为迅猛,这与前几年软件在电脑上泛滥的过程极其相似。
扣费病毒、恶意软件、恶意广告软件占到手机病毒总量的51%,在各类Android市场着大量“打包党”过的恶意应用,(注:打包党,就是将别人开发的Android软件拆包后植入恶意程序再继续分发渔利的组织或个人)。
2) 每月钓鱼网站的拦截次数在4亿~11亿之间,覆盖网民4000万至7000万人。这些网民访问到钓鱼网站的概率为5~7%之间,差不多每浏览14个网页就有一次碰到钓鱼网站。
而在2010年,金山毒霸每个月拦截到的钓鱼网站数量,在最高峰的11月份,也只有1000万次。
每天启动金山网购保镖的人数约400万~600万,次数约1400万~2000万。(见统计表)
据金山毒霸安全中心2011年中对1000余名网购被骗者专题调查,全国各地均有网民,近7成者被骗金额在500元以下。
在2011年上半年的网购安全专题调查中,统计者的被骗或被盗的入口,有60%通过聊天工具发生。
2011年末,中国经历了一次大规模个人信息泄露事件的洗礼,几乎人人自危。CSDN、天涯等众多互联网公司信息被公开下载,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。这些信息均为黑客商业网站后窃取并泄露到面前,而黑客手中掌握的信息到底有多少,对还是个未知数。
熟悉的杀毒软件重点在用户端的电脑安全,客户端安全软件对于存储在运营商服务器上数据安全鞭长莫及。此案预示着未来会有更多的针对服务器展开。
2011年3月,知名互联网交互设计专家“一叶千鸟”网购被骗5万余元。互联网行业老兵网上购物尚且被骗,普通网民在线购物面对的网购木马、钓鱼网站,已成待宰羔羊。
在大量同类案例中,许多者向警方报案时,却无法清晰描述经过。大多数案件只骗几百元,甚至几十元。者投诉的成本太高,最后往往自认倒霉。到目前为止,众多网购木马制造者仍未落网,网购木马变种仍然层出不穷。
2011年2月农历春节前后,多家的商业银行和地方城市银行客户大批量短信诈骗。骗子在短信中声称银行动态口令升级,请储户访问指定网站更新。许多储户信以,上网登录了这些网站。将自己的银行卡、手机号等信息提交,并随后还按网站提示的方法,把银行返回的验证码也一并交给骗子。结果导致大量储户资金被盗,损失数千元至数百万元不等。
QQ号称有5亿以上的用户群,QQ号已经成为事实上的网络通行证,QQ群功能更是深受喜爱。2011年9月,首个自动通过QQ群功能的蠕虫病毒被截获。该病毒伪装成电视棒破解程序网民下载,盗取魔兽、邮箱及社交网络账号。
中毒后病毒会自动访问QQ群共享空间,将病毒程序提交到群共享空间快速,病毒的最终目的是下载更多盗号木马,窃取虚拟财产。
该病毒独特的方式令安全研究人员吃惊,金山毒霸安全中心连夜和QQ安全中心协作,避免了大规模的蠕虫病毒。
2011年6月28日晚8点,新浪微博突然蠕虫式的“病毒”,众多加V认证的名人微博自动发布带链接的私信或微博。后查明,这是者利用新浪微博的XSS(跨站)漏洞,点击某个微博短址链接后,会自动加好友,自动发微博并同时链接。结果在短短半小时左右,数万人受波及。幸运的是,者事实上并无恶意,只是一次恶作剧,但XSS蠕虫的威力已被领教。
病毒者利用QQ聊天工具传送伪装成“我的照片”,接收方在打开照片的同时,后门程序运行。该木马主要用来盗取QQ号,和其他盗号木马不同,这些窃贼只是趁QQ号主人不在线时试图向QQ好友借钱购买虚拟点卡或代付购物,该病毒集团以骗取钱财为最终目的。
随着Android手机以越来越快的速度被用户接受,寄生于Android操作系统的手机后门程序渐渐高发。2011年,金山毒霸手机安全中心就先后捕获了伪装成打地鼠游戏、游戏、拼图游戏的手机病毒,这些病毒的主要目的是偷偷定制扣费服务,盗打电话,窃取手机隐私信息,截取手机短信内容,手机通话录音和获取信息。手机恶意程序对智能手机用户的信息安全构成严重。
《最高、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》于2011年6月20日通过。司释进一步明确了非法获取计算机信息系统数据,非法控制计算机信息系统相关的条款做了具体。新司释的出台,对计算机系统安全,非法入侵行为,病毒产业链的漫延具有重要意义。
“淘宝客者”病毒专门劫持淘宝网搜索结果。当用户在淘宝网搜索商品时,会自动跳转到淘宝客搜索推广站点。此后,任意交易卖家就要付出佣金,增加了网店经营成本,淘宝也会因此多支付佣金,而淘宝买家也因浏览器被劫持,只搜索到病毒想推广的商品而了选择的。
微博成为2011年最火热的网络应用,微博消息迅速快捷,成为钓鱼网站者的天堂。特别在2011年底出现大量网民个人信息被泄露之后,微博成为事件的重灾区,每天有数千乃至上万人的ID被盗,盗号者利用偷来的微博帐号发布大量商业广告或钓鱼网站链接。好在对中之类的钓鱼已经习以为常,微博帐号被盗后,再被骗钱的案例较少。
在追逐经济利益的时代,能给留下深刻印象的病毒木马已非常罕见。2011年,病毒木马变得更隐蔽,病毒行为正在灰色化。恶性病毒在减少,惹人烦的型病毒却在增加。以下是2011年度十大病毒。
鬼影是2010年出现的可以感染硬盘主引导记录的病毒,该病毒甫一出现,就因成功直接在Windows下改写硬盘分区表而闻名。2011年鬼影病毒升级了数个版本,其特点基本为改写硬盘主引导记录(MBR)驱动程序替换系统文件,干扰或杀毒软件运行,恶意修改主页,下载多种盗号木马。
在最新出现的版本中,还会自己的驱动程序和杀毒软件对抗,杀毒软件修复被改写的硬盘主引导记录(MBR)。2011年9月,鬼影4代病毒(其他杀毒厂商称为BMW病毒),除了上述特征还可感染电脑特定型号的主板BIOS芯片,使病毒的清除更加困难。
QQ群蠕虫病毒是2011年突然爆发的一种性很强的病毒,中毒电脑的QQ会自动转发群消息,是第一个可以利用QQ群共享来的蠕虫病毒。该病毒主要伪装成电视棒破解程序网民下载,盗取魔兽、邮箱及社交网络账号。
变形金刚类病毒最初是在一个伪装外挂的网站上发现,病毒利用暴风影音加载DLL文件时不校验的漏洞使病毒文件得到运行机会。变形金刚病毒开创了利用正常软件间接加载病毒的先河,此后,这种手法被大量病毒作者复制。中毒电脑会随机不定时弹出网页广告,变形金刚感染了超过16万台电脑。
2011年输入法盗号木马病毒的mgt.ocx文件拦截量曾经居高不下,病毒还推广较多的互联网软件赚取推广费,病毒的主要目的是盗取游戏账号。该病毒最大的特点是注入注入输入法程序,当用户按ctrl+shift切换输入法时,会激活病毒程序。
这类病毒是由易语言编写,利用“我的”“图片”做诱饵盗取QQ账号。该病毒制造了一个透明的按钮贴在QQ登录按钮上。中毒电脑QQ下范冰冰与王学兵线,用户手动输入QQ密码后点击登录。该病毒强大的染了数十万台电脑。
该病毒是一个仿图片的病毒,实质是一个远程控制程序。用户一旦打开查看此“图片”,远控程序就会在计算机后台悄然运行,为黑客打开便利之门。黑客可以像控制自己电脑一样控制中毒电脑,这可能会导致用户隐私信息泄漏和虚拟财产被盗,甚至黑客可以利用其组建僵尸网络,对目标计算机进行。这个病毒的特点是使用空格键为启动快捷键,每按一次空格,就激活病毒程序运行,空格幽灵由此得名。
DNF假面类病毒也是通过伪游戏外挂网站的,其最主要目的是盗取网络游戏DNF(地下城与勇士)账号。病毒巧妙地修改了网络相关的系统组件,当用户开机拨号连网或运行任何有访问网络行为的程序时,比如访问网络邻居时,病毒就被触发。
淘宝客劫持木马是指劫持浏览器访问淘宝网、淘宝商城到淘宝客页面的一类木马病毒。这类病毒是通过推广淘宝客导致商家成本上升佣金被吸走。淘宝客病毒在2011年严重感染,对淘宝的正常经营构成较严重影响,许多店主表示佣金花了,不得已只能放弃淘宝客这种推广方式。
这类病毒通过网站的专用播放器,感染后,会在后载更多木马和软件,窃取用户信息。该病毒窃取QQ号的方法比较独特,病毒的主要目标是Q币余额不为0的帐号。对没有Q币的帐号,虽然也可顺手偷走,但病毒作者并未将这些QQ号的登录信息发往远程服务器。
网购木马在2011年全年都很活跃,从发现它的第一天到现在,版本一直在更新,手法一直在变换。有多个网购木马成功突破安全软件的防御,甚至有网购木马还会直接推荐安装某安全浏览器,因为只有在网民使用这种浏览器购物时,病毒才会偷窃成功。
网购木马伴随2010年网购爆发增长而激增,2011年前2个月,平均每月增加新变种近3000个。
在恶意软件的构成中,木马(troj)类(含木马下载器)占据绝对主流,蠕虫病毒、宏病毒、感染型病毒的数量在恶意软件总数中的占比持续减少。
2011年,病毒感染之后系统的情况进一步减少,病毒导致系统崩溃或者变卡、变慢的情况也在减少,部分原因是计算机硬件性能提升,多核CPU正在普及,病毒木马即使耗光一个核心的资源,剩余的系统资源也基本不影响正常功能的运行。
1) 浏览器设置被:如浏览器主页被设定为某个网址站,收藏夹中被加入若干网址,手动修改无效。桌面生成商业网站的访问链接,无法轻易删除。浏览器弹出广告,经常访问钓鱼网站。
4) QQ或MSN被盗后出现异常登录,朋友声称自己的QQ号或MSN自动发出消息,或者被人冒充向好友借钱,或向聊天群组上传带毒附件。
2011年,病毒木马更加依赖互联网通道,利用浏览器及相关组件漏洞挂马的情况虽仍然存在,但由于浏览器自身漏洞的修补越来越及时,网页防护工具越来越有效,挂马的成功率变得很低。
杀毒软件还普遍加强了对U盘病毒的防护和查杀,使得U盘病毒的情况也有所下降,病毒木马更多的使用了网络下载和即时通信工具。
鉴于下载是病毒的主渠道,金山毒霸2012中特别强化了边界防御功能。在使用浏览器下载或聊天时接收文件带毒的比例在6%-10%之间,这是一个相当庞大且的数据:意味着,每下载10个软件,就可能遇到一个文件带毒。
在杀毒软件不断针对下载渠道改进防御系统的情况下,下载传毒也变得不那么容易了。观察发现从年初到目前,下载拦截到病毒的概率正在缓慢下降。
盗版视频、视频网站在病毒中起着举足轻重的作用。杀毒软件一般作法是拦截带毒播放器的运行,结果有大约20%的网民选择关闭杀毒软件后,继续下载带毒播放器。金山毒霸2012采用安全看片功能,来隔离病毒运行,该功能推出后大大降低了看片中毒的概率。
统计结果:访问视频网站安装带毒播放器的平均超过2万次每天,按提示进入安全看片的超过1.5万次,有4000余次会选择关闭网页带毒播放器,下载带毒播放器的下降到数百次。
2011年底自CSDN被暴库以后各大网站纷纷被“脱裤”,用户的账号密码瞬间出来,相对单个的计算机来说,服务器就是一个宝库。在客户端防御越来越严密时,服务器可能会被列入重点目标。
2011年底有关隐私泄露的话题引发长达一个月的讨论,之前只在小圈子流传的数据一夜之间在面前,网民安全感顿失。互联网还值得信任吗?
金山毒霸微博对此做了简单调查,调查网民对最常使用的20种互联网服务做信任投票,选择心目中最信任的五个互联网服务。这个小调查用来观察网民对常见的互联网服务的信心指数,截止2月9日,该活动共吸引了8370名网民参与。
面对黑客从客户端到服务器的全方位,网民需要更加完善的从客户端到服务器的全方位安全服务。希望网络服务除了常规的口令验证之外,还能提供手机验证;发现异常登录时,及时提醒;必要时,可暂时锁定服务;希望所有网络服务都能加密存储、传输用户提交的数据,未经授权的访问,防止数据被。从而让更多的互联网服务给网民以安全感。
金山毒霸安全中心在分析病毒规律时发现,一些早已可以查杀的病毒总在不断造成较多的感染。在联系过用户之后得知,很多情况下用户明明知道程序有风险(杀毒软件已经报告了),但为了使用这些软件,用户会按那些网站的提示关闭杀毒软件,再运行程序。杀毒厂商需要克服这些利用社会工程学来病毒的问题。
2012年,病毒产业追逐经济利益的趋势不会改变,但随着监管部门打击力度的加大,以及杀毒软件云安全体系的防护,我们看到大量病毒正在趋于灰色化:即性越来越不明显,比如锁定主页,添加浏览器和推广互联网软件。中毒用户在清除失败时,会觉得并不严重,而对病毒采取姑息态度。有些商业公司为了更快速的推广自己的软件,默许这种恶意推广行为的存在。
病毒和钓鱼网站的情况将会增加,我们已经观察到某些病毒感染后,会DNS解析,当用户访问正常网站时,会由于域名解析错误,用户会访问到一个钓鱼网站。
采用操作系统的手机正在迅速被Android系统取代,国内Android市场管理又相对宽松混乱。高性能智能手机在移动互联网的使用体验和PC没有本质差异。手机系统可以获得非常直接的经济收益,预计原来基于PC互联网的者会逐步向手机平台转移,首当其冲的就是迅速普及的Android操作系统。