连载:2008信息安全威胁综合报告上半年(1)

安天实验室对2008上半年度计算机病毒疫情进行了全方位的分析与统计,病毒的发展态式呈上升趋势,在原有病毒技术外,还不断出现新的分类。2008年上半年信息安全威胁情况明显超过以往任何一年,不仅新增大量恶意代码家族,而且新增病毒总体数量更是达到百万数量级之多。在互联网已然成为现实社会虚拟对等体的今天,我们在体会信息时代带来的各种便利的同时,也同时发现当前的信息环境存在大量的安全问题。

回望2007,当威金、熊猫烧香、AV终结者、网游木马……这些恶意代码开始集中爆发,任何一个网络用户都可轻松购得各种恶意代码软件,甚至直接购买病毒源码进行病毒变种开发。恶意代码在互联网上疯狂肆虐,无视反病毒软件的存在,入侵用户机器已经不再躲躲藏藏,而是变得公开化,主动攻击反病毒软件。恶意代码在互联网上公然进行的"偷"、"抢"、"骗"时,中国"黑客地下经济体系与产业链"的冰山一角渐渐浮现出来。

随着几起网络犯罪案的侦破,能够说明一个问题:一条完备、严密的黑客地下经济体系与产业链已经形成;网络犯罪已经组织化、规模化、公开化;作案团伙成员分工明确、各司其职,人员数量庞大。2008年上半年主要特点为:攻击者非法利益目的更加明确、行为更加嚣张。以木马产业链为代表:制造木马、传播木马、盗窃用户信息、第三方平台销赃、洗钱分赃。在利益驱动下,网络安全事故将更加复杂化、频繁化、隐蔽化。

1.2008上半年度计算机病毒疫情统计与分析

·2005-2008年上半年同期新增病毒数量对比图

2008上半年病毒总体增长幅度特别惊人,下图列出了2005到2008年上半年同期新增病毒数量。从对比中可知2005到2007每年上半年度增长还是比较缓慢的;随着互联网的快速发展,计算机的普及,各种入门级的黑客教程、病毒自动生成机、网马生成器等的日益公开化买卖,特别是病毒源代码的公开等;基于以上种种原因,2005到2007年上半年度每年增长幅度都相对正常。但若依据2005到2007的增长速度来推断,2008年上半年度的病毒数量是不正常的,增长幅度太大。经安天实验室的总体监控分析得出:之所以增长幅度如此之大,是因为(除以上列出的原因之外)黑客地下经济体系与产业链日益庞大健全的结果,使病毒的制造传播"批量化"、盗窃"专一化"、销赃"专业化";最终使2008年上半年病毒数量达到了132.52万之多。

  

·2007上半年与2008上半年新截获各类病毒对比图

08上半年度新增各类病毒数目与07上半年相比也不同程度的略有增加,其中木马增加最多为7604511个,后门增加了163783个,蠕虫增加了85888个,其它类比去年同期略有增长。从这个变化趋势可以看出,08上半年在总体数量增加的同时,并不是单一的类别增加,而是都有所增长,显现出08上半年病毒的活动并不是以某一单一类别为主角的,而是多类别协从侵害用户机器,以病毒群体的形式对用户机进行攻击。其中以木马攻击最为迅猛,给用户带来的直接和间接经济损失也是最大的。

  

·2008上半年新截获各类病毒比例

安天实验室对2008上半年新截获各类病毒比例进行分析可知木马的基数最大,占总比例的67%,在上半年新增的恶意代码中木马以快速获利为目标,变种之多、更新频率之快,位居类别之首。后门占总比例的15%,所占比例与去年同期基本持平;主要以Bot类居多,同时国内制造的后门略有增多。

蠕虫与病毒分别占总比例的8%和1%,与以往的比例相比,已失去了其昔日恶意代码主流地位的辉煌。可见在感染式病毒渐渐的退出恶意代码这个大舞台的同时,蠕虫也失去了以前的主导地位,而是朝着辅助工具的方向发展,主要的用途是作为木马传播的载体;其目的就是通过自身传播能力、攻击能力,以自身作为载体将木马安装到用户系统中;在恶意代码中的占有率日渐萎缩。

间谍软件与广告件的数目逐年增多,在利益的驱使下,一些非法团体或非法厂商利用中国对间谍软件与广告件的法律还不够健全这一空子,大肆制作产品广告,以流氓的手段在用户没有许可的情况下,强行在用户电脑上执行、收集信息、显示广告等。 总之,各类病毒都在不同程度的增长与发展,使08年上半年的病毒态势相比同期07年趋于严重恶化。

 

·2008年上半年各月新增病毒统计

从图中1-6月的新增病毒走势可见春节前后的2月是一个低谷期,病毒增长略加缓慢。从2月过后,便持续增长,到5月达到最高点,预计08下半年病毒走势还应在不低于5月的数量向上继续增长。

 

·2008年上半年各月新增家族数量统计

操作系统和应用程序等的更新换代,必然会出现一些老的病毒家族的淘汰和新病毒家族类别诞生,而且新增家族无论是基数还是类别上都比淘汰的家族要多很多。从图中分析可知08年上半年各月的新增家族数量,其中以5、6两个月增长最为突出。新增家族也给反病毒界带来一定的挑战,以特征码检测为例:新增的家族,老的特征库中必然没有其特征存储,那么只有哪家反病毒厂商能够第一时间捕获样本,才能够去第一时间查杀。显然反病毒厂商明显还是处在被动的环境中。

  

·2008年上半年每月各类病毒数目统计

从上面的分析得出了总体病毒形势,接下来通过下图来具体分析2008年上半年每月各类病毒数目情况。从2008年各类病毒占比的分析中可知,木马、后门、蠕虫占了总病毒比例排名的前三名,同样,在各月的分析中,此三类恶意代码每月占比仍遥遥领先,尤以木马走势最为明显。

 

·2008年上半年度十大病毒排名

下表是2008年上半年度十大病毒排名,OnLineGames盗号木马以其绝对数量优势排名第一。各式各样的网络游戏不断推出,游戏玩家不断增多,致使网络游戏中的虚拟财产逐渐被广大网络用户所认知,这也正给不法分子营造了一个销售平台。在此环境下OnLineGames盗号木马的数量迅速上升,直到以庞大的基数稳居排名榜第一位。当机器狗在网吧疯狂肆虐的时候,磁碟机更是让个人用户吃尽了苦头,他们在十大排名中与OnLineGames盗号木马一样都排在了前列。Bot后门今年仍然是有增无减,以国外控制端较多。下载型木马,沃忒客,U盘寄生虫,木马代理,木马辅助工具,AV终结者这六种恶意代码同样对用户敏感信息造成了不同程度的盗取与破坏。

 

综上所述:木马之所以会发展如此之快,是因为当今恶意代码的主流不再以比拼技术为主,而是以快速谋取金钱利益为目标。木马开发周期短,上手快,可以最少的成本来获取最大的收益,正迎合了当今恶意代码以利益为导向的发展方向。而传统的感染式病毒和蠕虫技术门槛相当高,开发周期长,不能达到快速获利,而且在原代码的基础上变种更新相当困难,复用性不强,注定了已经不适应当前恶意代码的发展形式;通过以上的详细分析可知,木马现已占据了一半以上的恶意代码数量并不断的增加;因此已成为当今恶意代码的主流,已经取代感染式病毒和蠕虫在恶意代码中不可动摇的地位。