三大国内07上半年安全报告对比
金山2007年上半年中国互联网安全报告
江民2007年上半年计算机病毒疫情报告
瑞星07上半年中国大陆互联网安全报告
2007年7月,国内三大安全厂商金山、江民、瑞星先后发布了2007上半年互联网安全报告。这三份报告均就2007年上半年的电脑病毒疫情及互联网安全总体状况,还有计算机病毒特点、感染情况等各方面进行了分析,并给出了相关统计数据,此外还都评出了2007年上半年十大病毒。那么,这三份报告究竟说明了一些什么问题呢?下面我们便就这三份报告的内容进行一下分解对比,看看其中究竟反映出了一些什么共同的以及不同的内容。
首先将三份报告中给出的部分重要数据整理成表,进行一下对比:
从表中可以看出,在截获新病毒数方面,瑞星共截获新病毒133717个最多,金山是111474个,而江民则截获73972个最少,但从与去年同期相比新病毒增长率来看,江民的增长率高达221%,根据报告内容看,这可能是因为去年同期江民截获病毒数过少(江民去年仅截获33358个),而今年江民在截获新病毒方面大有进步的缘故。但整体来说,这三份报告都体现出了今年上半年新增病毒数比去年同期略有增加的趋势。
在检测到的受感染的计算机台数方面,瑞星检测到35424138台最多,江民检测到14081895台,金山则检测到7596719台最少。这些数据均是由安全厂商主要以其产品客户端为基础,再辅之以其他手段而统计出来的,但由于三家安全厂商的用户数间相差比较大,因此得出的数据差异也比较大。瑞星目前在国内安全软件市场中所占份额最大,因而在进行统计时占有极大优势,检测到的数量才最多。同时我们也可以得出,这三家安全厂商给出的数据,都并不能反映出全国的实际感染台数,而是应该远比实际感染台数为小。而且,根据瑞星和江民的报告中给出的详细数据进行分析还可以看出,这两家厂商给出的感染计算机台数实际是按计算机感染病毒的次数来进行计算的,而一台计算机可能感染多次病毒,因而他们实际统计到的感染病毒的计算机台数应该还比其给出的数据为小,而金山给出的数据则是按感染台数而非次数算,因而数据比较小。
事实上,由于统计数据均是主要以客户端为基础,而厂商之间用户数相差比较多,因为三家厂商给出的绝对数据并不准确,彼此间差距也较大。但他们在报告中给出的比率性数据,总结性数据等则应大体相同,极具参考价值。例如在木马所占病毒比率这一点上,三份报告的数据都差不多,均是占病毒总数六成至七成,这充分说明木马已成如今病毒的主流。在病毒感染地区分布上,金山和瑞星得出的感染最严重地区是广东,而江民则是山东。其实这三者都差不多,广东、山东两省在三份报告中都居于感染严重地区前列。而在评出的十大病毒中,AV终结者成为危害最严重的病毒,金山和瑞星将其评为十大病毒之首,而江民则将其排第二,江民评出的十大病毒之首是“ANI病毒”。(下一页)
三大报告共同反映出的内容
金山2007年上半年中国互联网安全报告
江民2007年上半年计算机病毒疫情报告
瑞星07上半年中国大陆互联网安全报告
从这三份报告的内容来看,我们可以看出它们共同反映出一些问题,我们分别就其中几个方面进行一下说明,以便大家参考。
木马/病毒新特点
这三份报告共同反映出如今的木马、病毒的具有几个新特点。一是如今木马已经成为病毒的主流。木马病毒占全部病毒的六成至七成,事实上,即便是那些后门、蠕虫、下载器等类型的病毒,其中也有很大部分是为方便在用户电脑中植入木马而服务的,金山的报告中指出被感染的计算机中遭受过木马病毒攻击的比例高达91.35%。一是流氓软件式微。去年流氓软件一度泛滥网络的情况,如今已大为改观,从统计数据看,只占极小一部分,这得益于一直以来安全厂商和相关部门的联合打压,还有网民的极力抵制。但我们并不能掉以轻心,近日出现的一些流氓软件如8749等已经具有了病毒的性质,危害极大,我们仍要当心流氓软件卷土重来。
以获取经济利益为目的
获取经济利益,这已经成为绝大多数网络威胁的直接目的。作为盗取用户机密信息、网银资金、网游账号以及其他网络财产时最有效的工具,木马已经成为病毒的主流。金山的报告中指出盗号木马是最严重的一类病毒,占到木马病毒总数的76.04%,而蠕虫、下载木马、脚本漏洞病毒几乎都是为盗号木马来服务的,其目的就是通过自身传播能力、攻击能力,将自身做为载体将盗号木马安装到用户系统中。而在这些木马,病毒等背后,甚至已经形成了一个完整的黑客利益链体系,盗号木马、黑客后门病毒已经成为大多数职业病毒作者生财工具。此外,网络上的其它威胁,如流氓软件、网络钓鱼、敲诈软件等,都无不是以直接获取经济利益为目的。
漏洞的利用
漏洞的利用越来越严重,一个漏洞从公布到被恶意利用的时间大大缩短,利用“0-day漏洞”进行传播的病毒频繁出现。以“艾妮”为例,它利用微软光标漏洞进行传播,对包括Vista在内的Windows 所有用户造成严重威胁,成为首个造成了大面积感染的利用0-day漏洞传播的病毒。0-day漏洞是指微软官方未发现或未发布修补补丁的漏洞。早在去年就出现过多起针对微软office 的0-day漏洞的病毒。由于这些漏洞的自身限制未能造成大面积的用户受害,直到“ANI漏洞”的出现。由于用户没有办法在第一时间寻找最有效的解决方法,0-day漏洞所带来的危害远远超过普通系统漏洞。此外,一些Web程序的漏洞如SQL注入漏洞、XSS漏洞等,以及一些流行常用软件方面的漏洞,如QQ的vqqplayer.ocx缓冲区远程溢出漏洞、WEB迅雷的控件下载任意文件的漏洞、雅虎通的漏洞以及最近爆出的Flashplayer插件漏洞等等都被病毒利用进行传播和发起攻击。
网页挂马、ARP欺骗加剧
所谓“网页挂马”,指的是黑客自己建立带毒网站,或者攻击流量大的现有网站,在其中植入木马、病毒,用户浏览后就会中毒。由于通过“网页挂马”可以快速的批量入侵大量计算机,非常快捷的组建僵尸网络、窃取用户资料,因此“挂马”成为利欲熏心的入侵者的首选入侵手段。网页挂马问题在2007年上半年也出现了爆炸式的增长,在Sophos最新公布的一份报告中指出,高达29%的网页被挂木马。而作为经常与网页挂马相结合的手段之一,ARP欺骗情况也越来越为严重。黑客利用ARP协议存在的缺陷,侵入某台电脑之后发送ARP欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器,则其所在虚拟局域网内的其他网站服务器在响应用户的http请求时,返回的页面也将带毒,这样遭受危害的客户端机器会以几何级数迅速增多,危害极为严重。
U盘等移动存储设备成病毒传播重要途径
病毒的传播途径和方式越来越多样化,U盘等移动存储设备已成为病毒传播的一大重要途径。由于U盘等移动存储设备本身不会防毒,病毒很容易就会感染U盘,而当U盘插入电脑进行自动播放时,病毒就会即刻被自动运行。而随着如今U盘、移动硬盘、MP3等的应用越来越广泛,众多电脑用户需要通过接入U盘进行电脑数据交换,而多数人在U盘插入电脑前没有进行病毒扫描,这造成了U盘病毒的蔓延。在2007年,“熊猫烧香”等重大病毒纷纷把U盘作为主要传播途径,越来越多的电脑用户因为不当使用U盘感染病毒,U盘等移动存储设备已经成为2007年计算机病毒传播的主要途径之一。而2007年上半年的毒王“AV终结者”,就是一个典型的主要借助U盘来进行传播的病毒。根据瑞星公司的统计数据,2007年上半年,有大约三分之一的病毒可以通过U盘传播,学校、公司等使用移动设备较多的地方成为这部分病毒的重灾区。
可以看出,这三份报告都从多个方面分析了2007年上半年互联网的安全状况,它们反映出的内容大体上也是差不多的。但是,这三份报告相比,几乎同时发布的金山、江民的报告的显得单薄得多,内容简单得多。而姗姗来迟的瑞星的报告,显然准备的时间更为充分,因而内容也详细得多,有料得多。瑞星的安全报告不仅从各个方面总结了2007年上半年病毒疫情状况,还对造成病毒疫情严重状况的原因进行了深入分析,这就使瑞星的报告内容显得充实得多,这也使得其在三份报告中最具特色。瑞星在报告中指出,造成2007年上半年病毒泛滥的原因,一是国内互联网软件和应用存在大量安全隐患,普遍缺乏有效的安全防护措施,给黑客和电脑病毒提供了大量可趁之机;二是为了最终获取经济利益,国内黑客/病毒制造者集团化、产业化运作,批量地制造电脑病毒。瑞星在报告中从多个角度全面阐述了目前的互联网安全隐患,还对黑客/病毒产业链动作机制进行了详细分析。(下一页)
互联网用户安全威胁分析
金山2007年上半年中国互联网安全报告
江民2007年上半年计算机病毒疫情报告
瑞星07上半年中国大陆互联网安全报告
互联网用户安全威胁分析
《瑞星安全报告》认为,目前的国内互联网非常脆弱,除了操作系统和Web程序的大量漏洞之外,几乎所有基础的互联网软件和应用都成为病毒的攻击目标,这些网络软件和应用在其自身被病毒攻击的同时,还成为病毒入侵用户电脑的通道,特别是那些和支付平台、社区相关联的网络软件和应用,包括即时通信软件、下载软件、网络游戏、电子邮箱、网上银行等等,而网页、论坛、搜索引擎则成为病毒重要的传播途径。
U盘等移动存储设备成病毒传播新途径
随着网络视频和音乐的发展,U盘等移动存储设备的应用也日益广泛。而U盘、mp3等可移动介质被黑客广泛利用来传播病毒,目前通过U盘传播的病毒占据总病毒数的比例,从2006年的不足10%,上升到2007年上半年的35%左右。
网络软件和网络应用复杂而脆弱
A、Web浏览器、电子邮件
浏览器是大家使用最频繁的互联网工具,但是目前主流浏览器都存在各种漏洞,无论是微软的IE还是FireFox。正是由于使用浏览器的人最多,所以浏览器也就成为了黑客的主要攻击目标。网页挂马,ARP攻击,以及利用浏览器漏洞进行“钓鱼网站”诈骗,成为基于浏览器上最严重的三种网络安全威胁。
电子邮件也是最常见的网络应用之一,其使用人数广泛,而且往往和信用卡、支付帐户等进行了绑定,如果用户的电子邮件帐户被人侵入,则与其绑定的私人信息都可能被窃取,威胁到其信用卡、网络支付账户中的财产,这给邮件用户带来了很大的安全风险。同时由于电子邮件的传播范围广,它也成为黑客传播病毒或者进行网络钓鱼诈骗的最重要手段之一。此外,网络泛滥的各种垃圾邮件也给用户带来极大困扰。
B、 下载软件、IM聊天软件
下载软件、IM(即时通讯)软件这两类软件都拥有极大的用户群,且由于它们在先天设计上就存在安全上的薄弱性,因而一直是重要的病毒传播渠道和被害对象。就下载软件而言,迅雷、快车、BT、电驴等已经成为最为流行的下载方式,而这些软件大体上都是基于P2P技术的,P2P网络的结构使得病毒文件在该网络中不易清除,且容易传播,而用户在其中感染病毒的机率也较大,这使得其成为一种重要的病毒传播手段。黑客往往采用伪装或捆绑热门下载资源的手段来传播病毒。而对于IM软件,尽管自2006年以来,IM厂商在安全性上做出了一定的改善,但由于此类软件的某些功能,在初始设计上就违背了安全性原则,IM病毒的传播和泛滥有增无减。如前几天再度爆发的“MSN相册”病毒,就是利用MSN这种常用的IM软件疯狂传播的一种病毒。另外,基于IM软件的网络钓鱼欺诈现象也较多。
C、 网络游戏
网络游戏是黑客和病毒侵害的重灾区。网络游戏的虚拟帐号是互联网上可以任意交易的重要物品,可视作一种虚拟财产,而多数网游玩家缺乏基本的安全意识和技能,网游厂商不但缺乏安全保护专业技术,而且在保护玩家利益上投入的精力远远不够,这些因素都使得网游玩家饱受病毒和黑客侵袭,束手无策。而且,网络游戏中进行的诈骗活动也层出不穷。
根据瑞星的统计,在2007年上半年截获的新病毒中,木马和后门病毒超过11万个,这些病毒绝大多数与网络游戏有关。在2007年上半年十大病毒中,游戏相关病毒占据了3个。密码失窃、装备被盗卖,已经成为网游玩家最为头疼的问题。
D、 网络银行、网络证券
网络银行和网络证券交易日益火爆,大量缺乏基本安全意识和防护措施的股民面临极大安全风险。自2006年下半年以来,针对网络银行和证券的木马、后门程序暴增,相对应的是,由于前段时间股市的火爆,不少网民加入了炒股的行列,这些大量新股民加入了网络炒股的行列,但其中不少人甚至连基本的杀毒软件都未安装或者安装之后长久不升级,这其中的安全风险不言而喻。此外,各种新兴的网络支付手段,如支付宝,财付通等,其在带来网络支付的便利时也面临极大的风险。而如今大部分黑客都以获取经济利益为目标,因而网络银行、网络证券、网络支付账户,以及网络游戏账户等,已成为黑客重点的攻击目标,这更增加了用户面临的安全威胁。如何保障安全性,已成为网络支付、网络银行、证券等必须首先解决的问题。
系统漏洞和Web程序漏洞带来的安全问题
由于操作系统和Web应用程序本身都存在不少漏洞,一直以来,利用漏洞进行攻击入侵就是黑客最常用的手段之一。今年四月爆发的“ANI蠕虫”病毒,就是利用了微软操作系统的“动画图标文件栈溢出漏洞”来进行攻击的。关于漏洞利用带来的安全问题,三大报告中均有提及,在上文中已有所述,这里不再重复。(下一页)
黑客/病毒产业链分析
金山2007年上半年中国互联网安全报告
江民2007年上半年计算机病毒疫情报告
瑞星07上半年中国大陆互联网安全报告
黑客/病毒产业链分析
对黑客/病毒产业链进行了详细的剖析,这是瑞星的安全报告中另一重要内容。为了最终获取经济利益,国内黑客/病毒制造者集团化、产业化运作,批量地制造传播电脑病毒,瑞星认为这是导致2007年上半年病毒泛滥情况的重要原因之一。
典型流程(1):黑客侵入个人/企业电脑——窃取机密资料———在互联网上出售——获取金钱。
典型流程(2):黑客侵入大型网站,在网站上植入病毒———用户浏览后中毒,网游账号和装备被窃取———黑客把账号装备拿到网上出售(廉价金块、廉价装备)——获取金钱。
瑞星在报告中指出,随着互联网的不断发展,黑客和病毒制造者也逐渐形成了庞大、完整的集团和产业链,他们分工明确、无孔不入,不断地寻找各种漏洞并设计入侵/攻击流程,模块化、批量制造病毒,以盗取用户网络游戏、即时通讯工具、网上银行等虚拟财产为目的疯狂作恶。从病毒程序开发、传播病毒到销售病毒,形成了分工明确的整条操作流程,这条黑色产业链每年的整体利润预计高达数亿元。黑客和电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等等,包罗万象,任何可以直接或间接转换成金钱的东西,都成为黑客窃取的对象。通过分工明确的产业化操作,中国大陆地区每天有数百甚至上千种病毒被制造出来,其中大部分是木马和后门病毒,占到全球该类病毒的三分之一左右。
同时越来越多的黑客团伙利用电脑病毒构建“僵尸网络”(Botnet),用于敲诈和受雇攻击等非法牟利行为。由于互联网上的病毒地下交易市场初步形成,获取利益的渠道更为广泛,病毒模块、僵尸网络、被攻陷的服务器管理权等等都被用来出售,很多国内黑客开始利用拍卖网站、聊天室、地下社区等渠道,寻找买主和合作伙伴,取得现金收入,整个行业进入“良性循环”,使一大批人才、技术和资金进入这个黑色行业。
瑞星在安全报告还特别指出,近几年众多的商业公司雇佣程序员编写和电脑病毒拥有类似行为特征的流氓软件,在全社会的声讨和安全厂商的努力下,大部分商业公司已经不再制造流氓软件,但是有少数流氓软件团队以更隐蔽、更大胆的方式继续制造流氓软件乃至纯粹的电脑病毒。由于他们在网络和商业社会中拥有大量的资源,能起到黑白两个领域之间的桥梁作用,以此促进黑客/病毒产业链的发展。
此外,瑞星的报告还指出,许多病毒制造者开始有组织地和安全公司进行对抗,通过研究各种信息安全产品的运作流程和漏洞,制造出大量可以直接关闭、误导杀毒软件的病毒。几乎所有的主流杀毒软件都面临着病毒制造者的攻击,如何增强安全产品自身的安全性已经成为整个安全行业面临的重要课题。另外,加壳、免杀等技术也已经被开始被病毒编写者大量采用,以期逃过杀毒软件的查杀。
总体上来说,瑞星在报告中系统而彻底地揭示了目前我国互联网的安全隐患,还对黑客/病毒产业链进行了详细分析,这是其独具价值之处。理解这些报告中反映的内容,对于我们把握当前网络安全威胁状况以及其发展趋势,如何应对当前网络安全威胁具有极大参考价值。
网友评论