2013-10-16来源:金山安全中心
计算机病毒及钓鱼网站攻击的主要特点
1. 钓鱼网站一年增长3.6倍
2012年新增钓鱼网站163.1万个,而这个数字在2011年为45万个,钓鱼网站总量在一年里快速增长了3.6倍。87.55%的钓鱼网站服务器托管在国外,互联网相关管理部门只能管理剩下的12.45%。
针对QQ号的钓鱼攻击占钓鱼网站总量的44.6%,QQ号成为最大的被攻击目标。由于越来越多的网站服务支持使用QQ号登录,QQ号已成网民最需要保护的网络名片。因QQ号被盗导致的系列攻击,给网民造成的损失难以估量。
2. 传统计算机病毒依然活跃
2012年金山安全中心共捕获病毒样本总量超过4200万个,比上一年增长41.4%,月捕获病毒样本数在300万至450万个之间,日均超过11万个。如此之大的病毒样本量,必须依靠云安全系统才可能做到秒级响应。
2012年统计到病毒感染超过2.3亿台次,比2011年下降14%。总感染次数下降而病毒样本数仍然大幅上升,表明从事病毒传播的黑色产业仍然非常活跃。随着安全软件的不断普及和性能提升,病毒作者只能增加病毒更新的频度来达到牟利的目的。
安全风险统计数据
1. 病毒感染情况
2012年全年捕获病毒样本总量为42905082个(不重复的病毒样本数),比2011年的25137172个增长41.4%。2012年各月捕获数量如图1所示,每月捕获病毒样本的数量在300万至450万个之间,4月为最低值(3045253个),12月为最高值(4570627个),日平均捕获病毒样本超过11万个,如此巨大的样本量,必须依靠强大的云安全系统才有可能对新危险程序做到秒级响应。
图1 2012年恶意代码样本捕获月度统计 (来源:金山网络)
按病毒特征统计,2012年全年捕获新增病毒特征总量为7067031个(一个病毒特征可以匹配若干个病毒不等),比2011年的3605628个特征上升96.2%。2012年各月捕获数量如图2所示,其中2月达到全年最低值(436725个),8月达到全年最高值(813100个)。
图2 2012年恶意程序样本捕获月度统计 (来源:金山网络)
2012年监测到恶意程序感染超过2.3亿台次,比2011年的2.7亿台次下降14%。其中感染主机数量2月为全年最低点(1550万台次),11月达到全年最高值(2293万台次),如图3所示。病毒感染总次数下降,说明计算机病毒的感染率有下行趋势,而捕获的病毒样本总量仍在上升,表明病毒产业链的从业者仍然活跃。
图3 2012年感染主机数量月度统计(来源:金山网络)
2. 钓鱼网站统计
2012年反钓鱼系统共新增拦截各类钓鱼网站163.1万个,钓鱼网站新增数量为2011年的3.6倍,2011年全年新增钓鱼网站45万个。按月统计可看出钓鱼网站数呈明显增长趋势。
图4 2012年度每月新增拦截钓鱼host数
网购类钓鱼占钓鱼网站总量的16.85%,其中对用户影响较大的“淘宝类”和“网游交易类”分别占钓鱼网站总数的9.08%和3.57%。常规钓鱼网站中,假QQ空间和假QQ安全中心的盗号类钓鱼网站增长显著,2012年共拦截此类钓鱼网站72.8万个,占钓鱼网站总数的44.6%。
钓鱼网站的经营领域在2012年也显著扩大,其业务并不局限于与互联网服务,骗子从线上交易扩展到线下交易,利用廉价销售骗取用户保证金和中介费的钓鱼网站蔓延,假服装销售,二手车销售,虚假兼职招聘等也占了钓鱼总数的5%。
图5 2012年度网购类钓鱼及常规类钓鱼网站构成比
针对钓鱼网站的新变化,金山毒霸的反钓鱼系统也及时进行算法调整,通过和更多互联网企业合作,在更广泛的渠道收集可疑网址,金山毒霸对新钓鱼网站的自动响应时间从最初的30分钟缩短到30秒,大大压缩了钓鱼网站的生存时间。在此基础上,金山毒霸将网购敢赔服务升级到额度为8000元的网购敢陪险,最大限度地保障网民购物安全。
钓鱼网址查询--检出响应速度
钓鱼网站的流量来源分析:
搜索引擎、淘宝二手街、58同城等渠道是钓鱼欺诈的高发地。36.49%的钓鱼网站来源于搜索结果,假淘宝、假58同城钓鱼的37%和97%来自于淘宝二手街和58同城。当用户进入这些高危场景时,金山毒霸会提供安全场景提示及其专家咨询鉴定入口。
值得警惕的是,微博、聊天工具、短信这类网络应用是手机端应用的主流,手机上网的用户面临越来越严重的钓鱼网站威胁。2012年爆发的所谓“微信”病毒是钓鱼网站攻击利用社交软件传播的一次大爆发。
钓鱼网站与反钓鱼系统的对抗也在加剧:钓鱼网站利用js动态加载、域名泛解析、全图片、验证点击reffer、限制IP登陆等招数欺骗或阻止反钓鱼系统抓取钓鱼网站内容。
分析钓鱼网站的服务器分布:
87.55%的钓鱼网站服务器托管在国外,国内只有12.45%。
图6 钓鱼网站服务器托管地统计(国内外分布)
统计国内钓鱼网站服务器托管地,排名前六的分别是广东、浙江、北京、河南、江苏、上海,分布于这6个省(市)份的钓鱼网站占总量的82.20%,其他省份合计只占17.80%。
图7 钓鱼网站服务器托管地统计(各省分布)
3. 网购相关统计
金山网络于2011年8月提供网购敢赔服务,2012年7月升级为最高额度8000的网购敢赔险,网民第一次获得免费的网购安全赔付承诺。随着网购敢赔险的认知增加,网购敢赔险的申请量呈上升趋势。
图8 网购被骗后申请网购敢赔险的业务量
通过用户主动申请的网购敢赔险业务,能够第一时间掌握网络犯罪行为的特点,使金山毒霸能够先于对手抢先提供反网络钓鱼系统和防御网购木马。有力遏制了猖獗的网络欺诈犯罪活动。
网购诈骗的主要手法:
1. 制造和点对点传播网购木马:利用好压程序存在的DLL文件加载漏洞加载网购木马,通过QQ聊天工具将木马发送给对方运行,主要劫持淘宝交易;
2. 大量机票钓鱼网站、假淘宝店使用加密网页代码的手法逃避拦截;
3. 利用58同城担保交易钓鱼、动态域名网址钓鱼。
针对这些手法,金山毒霸网购保镖根据购物场景,模拟被骗过程,在技术上实现对异常交易行为的智能判断,及时给网民提供正确的安全警告,大大降低了被骗概率。
针对特定的应用场景,金山毒霸会提供相应的安全警告,提醒用户小心上当。
1、主流搜索引擎搜索“话费充值”、“机票”、“兼职”等三类关键字,弹出安全提示
图9 特定场景下的安全提示(1)
2、淘宝二手街搜索“iPhone”、“兼职”等关键字,弹出安全提示。
图9 特定场景下的安全提示(2)
2012年度十大病毒
1、鬼影病毒
鬼影病毒是当之无愧的2012年度毒王,它主要依靠带毒游戏外挂或色播传播,年内出现数个变种:包括鬼影5、鬼影6、鬼影6变种(CF三尸蛊)等,它和杀毒软件的技术对抗也达到了一个新的高度,在这一年里,金山毒霸针对每次截获的最新鬼影病毒,快速更新和发布顽固木马专杀,捍卫用户电脑安全。目前,主流的杀毒软件均能防御鬼影病毒,经常下载使用带毒游戏外挂的电脑用户是感染鬼影病毒的高危群体。
鬼影病毒进化史:
鬼影1:感染mbr,无加密。
鬼影2:加密感染mbr,并通过diskhook保护mbr。
鬼影3:感染beep.sys,挂钩StartIO保护mbr。
鬼影4:感染特定主板bios,从而保护感染的mbr不被修复。
鬼影5:感染atapi+ntfs驱动,反复回写保护mbr。
鬼影6:通过atapi+ntfs+startio+回写+av技术保护mbr不被修复,最大的亮点是无病毒文件对抗查杀。
鬼影6变种:替换beep.sys+释放隐藏的rootkit驱动+safemon.dll保护MBR不被检测和修复,阻止安全工具使用和杀毒软件联网、强行推广流氓导航网站。
2、AV终结者末日版
AV终结者末日版是一个恶意对抗杀软的病毒,从整个手法来看作者是有意在炫耀自己的技术。它释放ADS流病毒,原理是利用NTFS数据流来隐藏病毒;它释放3个驱动破坏杀毒软件并保护自身,如隐藏文件、进程等;它刷网站流量,在中毒机器上开启3389端口用于接受黑客控制;它发现一旦发现进程中存在“PowerTool.exe”, “XueTr.exe”则通知驱动删除系统的文件,从而破坏整个系统。
3、网购木马
网购木马的全称是网购交易劫持木马,12年流行网购木马的特点:利用组策略禁止主流安全软件运行,在系统无保护的情况下,网购木马即可在买家网购付款环节轻易篡改交易信息。使买家要购买的东西没有支付,却替病毒作者购买了游戏或手机充值卡。
这种网购木马打劫的过程非常巧妙,就好比你在商场购物,在收银台签单时,小偷以迅雷不及掩耳之势拿小偷的定单替换了你的定单,买家却在小偷的定单上签了字。
12年流行网购木马主要利用第三方软件的安全漏洞加载病毒, 金山毒霸的网购保镖可阻止网购木马的盗窃行为,购物时若发现杀毒软件弹出报警,应毫不犹豫终止交易,而不要相信对方说这是杀毒软件误报。金山毒霸是国内最早承诺网购敢赔的杀毒软件,假如杀毒软件被病毒巧妙绕过而最终受损,消费者即可申请赔付。
网购木马知识科普 http://bbs.duba.net/thread-22640981-1-1.html
4、456游戏木马
456游戏木马是指捆绑在456游戏大厅中并利用456游戏加载的远控木马或盗号木马。年度流行的456游戏木马变种主要通过捆绑 456游戏大厅传播, 通过劫持456游戏的dzip32.dll执行第三方loader(存在漏洞软件的exe可执行文件)加载启动病毒dll。 然后在内存中解密一个gh0st远程控制木马程序并执行。
2012年,金山毒霸截获的456游戏木马变种在10个以上,大部分变种是利用存在安全漏洞的第三方软件EXE程序加载病毒。金山毒霸对456游戏木马加强了查杀和防御,建议广大用户下载游戏到官方网站下载,可避免上当受骗。
5、连环木马(后门)
这是一个木马后门程序,中此木马的用户电脑会成为远控者的一个肉鸡,它指受控制端的指令来执行各种网络攻击,同时也具有下载其它程序的功能。
判断电脑是否感染连环木马的方法是查看进程中是否存在TPONSCR.exe,如存在,则代表你的电脑可能已经感染连环木马。金山毒霸无须升级即防御和查杀连环木马。
6、QQ粘虫木马
QQ粘虫木马是指以透明窗体覆盖QQ登录框或伪造QQ登录/重新登录框的盗号木马。金山毒霸在2012年截获的QQ粘虫木马主要是伪造QQ登录/重新登录框的变种。
2012年流行QQ粘虫木马的工作流程是检测QQ-干扰QQ(挂起或者关闭QQ)-假冒QQ窗口-骗取登录信息-发送QQ账号至病毒服务器。它使用了社会工程学,采用较为简单的手段来骗取QQ号和密码。金山毒霸针对流行QQ粘虫木马的最新特点,在截获的同时加强防御和查杀,可确保广大毒霸用户远离QQ粘虫木马的危害。
7、新淘宝客病毒
新淘宝客病毒是利用驱动过滤劫持淘宝网搜索结果的病毒,它使用了游戏捆绑,加数字签名,驱动隐藏过滤,驱动切断云扫描等方法,使得病毒的隐藏能力大大增强。2012年,金山毒霸截获的该病毒样本系来自某知名单机游戏网站,它通过单机游戏捆绑方式传播,玩家在运行游戏的瞬间激活病毒,由于该病毒伪造成游戏文件并能使游戏正常运行,对玩家很具有迷惑性而认为是杀毒软件误报。
新淘宝客病毒在原先淘宝客木马的基础上,增添了许多新的功能。但主要的功能仍然不变,仍为淘宝客劫持。大致分为两个部分,文件系统过滤和TCP过滤设备。 这两部分分别用于文件隐藏、淘宝劫持、切断安全软件的云上传和云查杀的网络连接,以达到逃避查杀的目的。金山毒霸可防御新淘宝客病毒,不慎感染新淘宝病毒的用户,可下载金山顽固木马专杀来清除。
8、浏览器劫持病毒
该病毒主要通过互联网下载以及局域网和移动存储设备感染进行传播,会劫持浏览器主页和其它网址导航类网站,强制推广病毒合作网站,以此来提高指定网站流量,让病毒作者从中获利。
对于IE浏览器, 病毒会直接跳转到hxxp://aaa.597ie.com/。而对于非IE浏览器, 病毒会先关闭当前浏览器, 然后重新打开,并且访问到hxxp://aaa.597ie.com/。
病毒创建一个定时器,循环遍历磁盘驱动器,如发现用户有插入移动存储设备, 则病毒会将自身文件拷贝到移动设备的根目录中,并建立autorun.inf文件,执行文件指向病毒文件。 以此来进行传播。
9、传奇私服劫持者
该病毒捆绑于传奇私服登陆器,属于流量劫持木马,它通过DNS劫持/hosts劫持/驱动劫持等方式把大量的私服网站解析到固定的一个私服网站,以达到流量劫持的目的。
其中,释放恶意驱动GamesGuardnet.dat的变种在阻止其他私服驱动的加载的同时存在严重bug,会导致电脑经常蓝屏重启。
10、QQ群蠕虫病毒
QQ群蠕虫病毒是指利用QQ群共享漏洞传播流氓软件和劫持IE主页的蠕虫病毒,QQ群电脑用户一旦感染QQ群蠕虫病毒,又会向其他群QQ群内上传该病毒,以“一传十,十传百”式放大效应传播。
QQ群蠕虫病毒大规模爆发于12年8月下旬:大量QQ群的群共享出现可疑文件,分别为“QQ斗地主无限刷豆2012年8月27日更新2.zip"、“QQ农场无限刷金币2012年8月27日更新.zip”、“李宗瑞迷奸60位女明星偷拍视频流出.zip”等。截止到目前,金山毒霸可防御和查杀QQ群蠕虫病毒。