2009年2月5日,国内权威计算机反病毒厂商江民科技发布2008年度计算机病毒疫情调查报告暨年度十大病毒。
江民反病毒中心、江民KV病毒预警监测系统、江民全国恶意网页监测系统、江民客户服务中心联合监测统计的数据显示,2008年01月01日至2008年12月31日,共截获病毒1095932种类(所有病毒计数按KV特征码记录计算,并非样本MD5值,病毒变种无论多少均视为同一类病毒),较2007年增长201.9%,共有28085085台用户计算机感染了病毒。
与2007年相比,2008年度病毒种类增长了约201.9%,感染计算机总数下降了18.39%。虽然2008年总体来说计算机病毒数量仍然居高不下,但总体病毒感染量的下降也在一定程度上反映出国内的网民在安全意识方面有了一定的提高,网络安全防范措施有所增强。
从全年的病毒种类来看,2008年月病毒种类维持在10万左右。年初的时候,处于相对平稳状态,在5月份达到年度峰值(110144种),之后在8万到10万之间上下浮动,10月份跌到年度低谷(78895种)。
从感染的计算机数量来看,病毒疫情最严重的月份集中在上半年。1月份全国感染计算机总数达到年度峰值(341万7千余台),成为年度疫情最严重的月份。2月份到9月份有一定幅度下滑,10月份达到年度低谷(129万1千余台),11月、12月有微幅上扬趋势。
从所截获的病毒种类来看,2008年所截获的病毒中,木马病毒占78%,后门病毒占10%,广告程序占4%,蠕虫病毒占6%,其它类型恶意代码为2%。相较于2007年,木马、后门类病毒占病毒总数的比例增长了10%,这说明2008年度网络安全最大的威胁仍然来自于木马、后门类病毒。
总体来讲,2008年计算机病毒疫情总体呈现出如下几个特征:
一、网游盗号类病毒大行其道,新木马病毒中十有七八
受经济利益驱使,利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料的病毒今年十分活跃。2008年年截获的新木马病毒中,80%以上都与盗取网络游戏帐号密码有关。病毒作者的牟利目标十分明确,就是盗取互联网上有价值的信息和资料,特别是网络游戏帐号密码、以及虚拟装备等,转卖后获取利益。逐利已成为此类病毒的唯一动机和目标,随着网络游戏的火爆和兴盛,此类病毒仍然有着庞大的市场和生存空间,成为2008年度最主流的计算机病毒。
二、应用软件漏洞成为"网页挂马"新途径
2008年,每一次系统漏洞出现,都会迅速涌现出大量的利用该漏洞的恶意网页。除了操作系统以及浏览器存在的漏洞,众多应用工具软件漏洞也大量被病毒利用,比如各种IM即时通讯聊天工具漏洞、播放器漏洞、网络电视播放软件漏洞、甚至就连搜索工具条漏洞都被骇客大量利用。骇客"网页挂马"的方式除了入侵各种存在漏洞的网站、论坛以及博客系统,直接在入侵网站的页面上挂马外,最广泛的传播方式是在网络上大量散发将带有病毒的恶意网页链接,散发方式多种多样,可以是即时聊天工具,也可以是使用特制的各种博客或论坛的自动登陆发布系统(如各种论坛群发软件,可自动向指定的大量论坛发指定内容的帖子),这些被广泛传播的恶意网页地址无处不在,成为互联网上埋下的一颗颗定时炸弹。如最新的微软IE7 XML 0day漏洞自出现后十天之内,即被黑客广泛用于网页挂马,传播计算机病毒。10天中,江民反病毒中心截获了数百个利用此漏洞的恶意网页,它们分布在165个黑客网站上,而这些作为病毒传播源的恶意网页地址更是被广泛传播到成千上万的网站上,数百万电脑用户面临严重安全威胁。
三、网络欺诈威胁急剧上升
2008年,各种名目的虚假网络欺诈频频现身。其中,伪装腾讯QQ发布虚假中奖信息的广告尤其突出。病毒通过弹出一个伪装的QQ消息窗口,用户一旦点击了弹出窗口中的链接,该病毒便会打开一个伪装的腾讯QQ网站,并显示虚假的中奖信息,诱惑用户点击并进入领奖窗口。随后该钓鱼网站会要求用户填写个人信息资料及输入中奖消息上提供的验证码,当领奖信息全部填写完毕后,钓鱼网站会提示用户需要提前缴纳手续费并提供一个骇客的银行账户,诱骗用户向骇客的账户中汇款,骗取钱财。除了QQ之外,淘宝网旗下的淘宝旺旺用户也频遭此类网络欺诈侵害,淘宝卖家的旺旺上频繁弹出非淘宝网链接,欺诈者通过"我想买这个宝贝""这个宝贝有货吗"等语言,后面跟上一个欺诈网址,使淘宝用户误以为是买家需要的宝贝链接从而去点击,最终可能导致淘宝帐号被盗或电脑感染病毒的严重后果。
四、僵尸网络有增无减 BOT类病毒高发
2008年,江民反病毒中心监测到,上半年各种可以用来组建"僵尸网络"的BOT类病毒高发,由于电脑感染BOT病毒后,可以接受服务器端的远程控制,导致许多电脑用户不知不觉成为黑客的帮凶。2008年上半年,为了确保奥运会网络安全,江民反病毒中心配合国家计算机病毒处理中心集中处理BOT类病毒数千种,协助公安部门清理了多个"僵尸网络"病毒源头。
案例一:
"僵尸网络"危害巨大,2008年某知名门户网站就曾经受到僵尸网络的攻击,导致多台服务器无法为网民提供服务,损失巨大。
案例二:
据国家计算机病毒应急处理中心介绍,2008年,山东潍坊两家物流公司因为存在商业竞争,一公司为抢夺客户资源雇用黑客利用DDOS手段大面积入侵联网电脑,致使潍坊40万网通用户7月份不能正常上网。6月底,毕某与曲某为了打击竞争对手的物流公司,共同策划让潍坊市这家物流园公司网络瘫痪的手段,雇用了黑客高手朱某想办法让对手打不开网站。朱某是淄博人,酷爱电脑技术。因计划与女朋友共同买房的朱某目前尚短缺一笔不小的资金,为了凑足这笔资金,他答应帮助毕某、曲某的忙。朱某想到利用DDOS黑客程序进行攻击,朱某7月10日开始抓"机"(电脑),总共控制了大约5000台"肉机"(又称傀儡机)。利用这些傀儡机,自7月17日开始,朱某在家里或者网吧攻击潍坊该物流公司的电脑主机,不想潍坊某物流公司的托管服务器正好位于网通公司,黑客攻击连累全市40多万网通用户无法正常上网。
五、病毒产业化以及互联网化日益明显
目前计算机病毒已经呈现出产业化特征,已经形成从"病毒作者"–"盗号团伙"–"销售平台"–"终端用户"的完整产业链,病毒作者不再会为恶作剧、破坏系统、干扰用户操作这些损人不利己的事情去消耗精力,获利已经成为黑客传播病毒的唯一目标。更多的病毒选择悄悄潜伏在系统中,伺机窃取病毒作者指定的有价信息,如网游帐号密码、虚拟装备、Q币、网上银行帐号密码等等。制作和传播计算机病毒已经演变为有预谋的网络犯罪,而参与网络犯罪的人员因为组织严密、分工明确,已经成为一种"网络黑社会"。
与现实生活中的黑势力团伙不同,这种"网络黑社会"是通过互联网进行分工和指派任务的,他们通常利用临时QQ群的形式集会,所有活动完全通过互联网实施,并通过互联网销售平台将窃取的有价信息转卖,整个作案过程完全实现了互联网化。
案例:
据国家计算机病毒应急处理中心介绍,2007年12月16日 ,"3.5"特大网上银行盗窃案的8名主要犯罪嫌疑人全部落入法网。8名疑犯在网上以虚拟身份联系,纠集成伙,虽不明彼此身份,却配合密切,分工明确,有人制作木马病毒,有人负责收集信息,有人提现,有人收赃,在不到一年时间里窃得人民币300余万元。徐伟冲提供信息,金星通过网上购买游戏点卡,转手倒卖给湖南长沙的"宝宝",即陈娜。因信息太多,忙不过来,金星又在网上将信息倒卖给"小胖","小胖"再转卖他人提现。陆瑛娜则不停地在网上购游戏点卡,她到外地制作了两张假身份证,在数家银行开了账户,忙着到苏州、昆山、常州等周边地区银行去取赃款。
2008年4月11日,无锡市滨湖区法院对一起公安部挂牌督办的重大网络犯罪案件作出了一审判决,被告人金星 、徐伟冲 、陆瑛娜、方少宏因构成信用卡诈骗罪和盗窃罪,分别被判处十四年至三年不等的有期徒刑。