一、全国计算机病毒传播形势
根据“江民计算机病毒疫情监测系统”的数据显示,2010年8月份较2010年7月份而言,全国范围内感染病毒的计算机数量呈小幅的上升趋势,涨幅为8%。这也是自今年6月份病毒传播呈下降趋势以来首次出现的上涨。究其原因,一方面是7月末出现的“CVE-2010-2568”攻击者病毒对其它恶意程序的传播起到了推动作用,另一方面则是随着暑期网游玩家数量的增加,不法分子也随之活跃起来,妄图从这难得网游黄金期中谋取到非法的经济利益。
本月中最为流行的病毒类型依次为木马、蠕虫和后门病毒。其中,木马病毒占据了整个病毒数量中的70%强,较上月的68%略有提升。蠕虫占据了14%的数量,较上月下降了2个百分点。后门约占9%的比例,与上月数据相比相差不大。
在数量最为众多的木马病毒中,主要是以具有下载和释放功能的木马为主。在8月16日至8月22日这一周的时间内,新病毒的数量出现了较大幅度的增长。当时在前20大活跃病毒的周统计数据中,40%都属于新病毒。而这些新病毒几乎全部为木马下载器和释放器,由此不难看出,不法分子试图通过对这两类病毒进行更新来实现加速其它恶意程序传播的目的。同时,在8月中旬的时候,盗号类木马也猛然出现了抬头的趋势,在一周的时间内数量激增。这些都十分明显地反映出了8月份计算机病毒的传播特点。
利用Windows Shell远程代码执行漏洞的病毒“Exploit.CVE-2010-2568”虽然传播趋缓,但尚未从我们的视线中消失。与此同时,在统计数据中沉溺许久的“CVE-2010-0806”攻击者病毒又在8月下旬悄然重现,且涨势十分惊人,其仅用了一周的时间便直接窜至周疫情统计中的第三位。自该病毒出现起,微软至今已推出了3次IE累积更新,照此看来此漏洞应属大势已去,不该再有活跃的理由。是什么导致其再度出现?或许目前不法分子手中实在没有更多其它可被利用的漏洞,是其再度“出山”的重要因素。虽然其利用成功率已不可同日而语,但无论安全软件厂商如何地宣传和作出实际的工作,用户仍可能因为安全意识的淡漠或者一时的疏忽而置身于威胁之中。不法分子也是看到了这一点才不断对过时的漏洞加以重复利用,妄图抓到漏网之鱼。因此,及时安装操作系统补丁,定期将常用软件升级至最新版本,是当前环境下防止遭受病毒侵害的根本解决之道。
8月份,全国病毒疫情最为活跃地区的前三名依次为山东省、广东省和四川省,这一名次与7月份统计结果相同。这三个地区基本上常年位于病毒高发的前三名之中,排名十分稳定。北京地区仍旧位于统计的第四位,这已经是自6月份开始,连续第三个月稳居这一位置了。今年年初的时候,北京地区还仅仅属于全国“第八大病毒活跃城市”。自2月份开始,便以每月1名的速度向上攀升,直到6月份稳定在这一位置上。由此可见,今年北京地区的病毒传播形势表现得并不乐观,亟待做好各项安全防范措施,从而减少所面临的威胁。
在这些疫情较为严重地区活跃的恶意程序大多是蠕虫和寄生虫类病毒,此外还有木马下载器、恶作剧脚本病毒以及后门。在蠕虫病毒中,主要以“刻毒虫”变种家族和“威金尾巴”为主。“威金尾巴”不具有破坏和传播的能力,它是由于其它杀软未能完美清除被“威金”感染后的可执行程序从而导致的残留。江民针对此种情况特别开发了相关清理模块帮助进行“善后”工作,从而还用户一个彻底干净的文件。恶作剧脚本病毒则主要是“恶小子”变种a和“苏拉”变种a。这两个病毒均以灵活的VBS以及批处理语言进行编写,通过此种方式编写的病毒不但容易产生免杀变种,其运行也更加容易逃过杀毒软件的监控。“恶小子”变种a还利用了NTFS文件系统中的ADS特性进行自启动,从而更好地实现了自身的隐藏。“苏拉”变种a在运行时则会询问系统用户大量动漫方面的问题,如果回答错误超过指定数量则会破坏系统的启动文件,从而造成操作系统无法正常使用以及数据的丢失。
二、月度五大流行计算机病毒(全国)
三、月度恶意网站(被挂马站点)情况统计
如同前面所说,随着“CVE-2010-0806”漏洞病毒的重现,8月份的“前五大恶意网站排行”中再度出现了挂马类站点的身影,不过作为恶意程序中转站的病毒类站点仍旧占据恶意网站中的绝大部分数量。这些病毒类站点少则存储几个恶意程序,多则存储数十个,可谓名副其实的“毒窝”。这些恶意程序大多通过木马下载器等进行传播,两者共同构成了代表着灰色经济的利益链条。
上图说明的是全国恶意网站(被挂马站点)拦截情况统计。其中,“地区名称”代表恶意网站(被挂马站点)的IP地址所属地,“拦截次数”代表KV杀毒软件拦截对该网站的访问次数。
从图中我们不难看出,除了其它地区(其它地区表示其IP地址所属不详,通常这些IP以美国居多)以外,北京成为了拦截次数最多的地区。虽然这一情况并不代表北京市的恶意网站(被挂马站点)数量属全国最多,但至少可以在一定程度上说明这些站点的活跃程度。在这些网站中,病毒类和挂马类站点各占约一半的比例。其中一些被挂马网站自8月初被首次拦截以来,其恶意页面至今仍旧可以正常访问。这其中不乏一些具有一定知名度和规模的站点,因此我们认为,对于WEB安全防护而言,没有绝对的“可信任”之说。任何正常的站点都有可能被攻陷并成为恶意程序传播的傀儡。因此,在上网之前进行全面的系统漏洞修复,同时开启杀毒软件以及相关的网页木马防护功能,才能最大化的保证在上网冲浪时不遭受漏洞的侵害。