2011年上半年互联网信息安全威胁综合报告

报告概要

    2011年上半年安天实验室对互联网恶意代码疫情统计表明，恶意代码的数量持续增长，同比2010年上半年恶意代码总量增长了10%，木马数量依然是各类恶意代码中最多的，占恶意代码总数的64.1%。

    挂马页面拦截数量比去年同期下降了28%，网页木马漏洞利用方面，主要以MS10-018（cve-2010-0806）漏洞和Adobe Flash Player漏洞为主。

    钓鱼网站的数量较2010年上半年有明显增长，网络钓鱼方式仍以“中奖”信息为诱饵进行诈骗的居多，支付交易类、金融证券类、即时通讯类钓鱼网站占钓鱼网站总量的很大比重。

    移动安全方面，Android是目前全球使用人数最多的智能手机操作系统。2011年上半年，Android平台新出现的恶意代码家族数较去年有显著增长，由2011年之前的5个已增长到28个；Android恶意代码的攻击方式以隐私窃取和发送扣费短信为主。

一、2011年上半年恶意代码疫情统计与分析

1.2011年上半年恶意代码疫情整体统计

• 1.1 2011年上半年与2010年上半年恶意代码数量对比

    2011年上半年，安天实验室共捕获恶意代码样本总量为4,898,177个，比2010年上半年的4,447,818个增长了10%。




• 1.2 2010年捕获恶意代码月度统计

    从2011年上半年每月新增恶意代码数量走势来看，二月份恶意代码数量降到最低值（759,578个），三、四月走势较为平稳，到5月份达到最高值（896,981个）。

2.2011年上半年各类恶意代码分类统计

• 2.1 2011年上半年各类恶意代码分类统计

    对2011年上半年各类恶意代码统计表明，木马、病毒、蠕虫的数量占据前三位；木马占比最大，占各类恶意代码总数的64.1%，黑客工具占比最低，仅占总数的0.5%。



• 2.2 2011年上半年各类恶意代码月度统计

    由2011年上半年各类恶意代码月度统计可以看出，木马是对上半年捕获恶意代码数量趋势影响最大的一类恶意代码，共捕获3,139,224个； 1至6月份，后门、蠕虫、病毒的增幅趋势较为明显，木马波动较大，其它各类恶意代码变化不大，走势较为平缓。



• 2.3 2011年上半年与2010年上半年恶意代码数量分类对比

    在2011年上半年与2010年上半年各类恶意代码数量分类对比中，绝对数量增长最多的是广告软件和病毒，增幅分别为179.3%、175.9%，病毒由2010年上半年的第4位升至第二位；下降的是蠕虫和后门，分别下降了8.1%、3.1%，也由2010年上半年的第二、三位降至第三、四位。

3.2011年上半年恶意代码加壳数量统计

• 3.1 2011年上半年与2010年上半年加壳样本数与总样本数统计对比

    恶意代码加壳是为了躲避杀毒软件的查杀。2011年上半年恶意代码加壳数量的总数为1,077,709个，占恶意代码总数的22%，与2010上半年同比增长了5%。



• 3.2 2011年上半年恶意代码加壳类型TOP10统计

序号	壳名称	数量
1	UPX	730753
2	PECompact	121907
3	ASPack	52457
4	PecBundle	37736
5	MaskPE	24945
6	UPack	11509
7	NSPack	9274
8	NTKrnl	7760
9	FSG	6426
10	TeLock	5009

4.2011年上半年恶意代码按行为分类统计

    对2011年上半年恶意代码按行为分类统计中，可以看出，具有“偷窃行为”的恶意代码占绝大部分比例，此类恶意代码的增长，对网民的个人信息与财产安全带来很大的威胁。

行为概述：
1、Stealer
偷窃类恶意代码，用于盗取用户的机密信息，如个人隐私、帐号、商业机密等。
2、GameThief
网游盗号类恶意代码，用于盗取用户的网络游戏账号、密码等信息。
3、Downloader
下载型恶意代码，下载并安装新的恶意软件或广告件在受感染的机器上。
4、NET
侧重于网络操作类的恶意代码，例如创建大量线程扫描，或者连接网络。使网络变慢或不能正常运转。
5、Dropper
捆绑型恶意代码，将其他恶意代码与正常文件相结合，当用户打开被捆绑恶意代码的正常文件时，同时释放并执行恶意代码。
6、SPY
间谍类恶意代码，监测主机上的活动，并反馈给恶意代码作者，具有在系统内隐藏的能力。
7、Rootkit
特指那些具有对抗系统安全特性和安全工具的检测的特性的恶意代码，是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。
8、P2P
点对点类恶意代码，通常将自身复制到本地共享文件夹下，一旦成功的把自身以一个看似无害的名字安置到共享文件夹下，P2P网络就被接管：通过网络通知另外的用户有新的资源，并且提供下载，从而执行被感染的文件。
9、Clicker
重定向受感染的机器访问指定的WEB页面或其它互联网资源。常被用于提高指定网站的点击率、对指定的网站进行拒绝服务攻击、访问恶意网站受到其它的恶意代码攻击。
10、Banker
网银盗号类恶意代码，用于盗取网上银行帐号、支付宝帐号等信息。

5. 2011年上半年恶意代码家族统计

• 5.1 2011年上半年恶意代码家族TOP10统计

序号	家族名称	数量
1	Trojan/Win32.Kykymber	770097
2	Trojan/Win32.Patched	611101
3	Virus/Win32.Virut	230748
4	Trojan/Win32.Agent	161572
5	Trojan/Win32.Vilsel	140915
6	Virus/Win32.Parite	122313
7	Trojan/Win32.VBKrypt	103071
8	Trojan/Win32.CodecPack	100631
9	Trojan/Win32.Cosmu	75478
10	Trojan/Win32.OnLineGames	69577

1、Trojan/Win32.Kykymber
家族特点：此类木马以盗取网络游戏帐号为主要目的，通常利用衍生的恶意DLL注入到桌面进程“explorer.exe”中运行，盗取网络游戏帐号、密码、分区、等级、仓库密码、金钱数量等信息。该类木马数量从2010年开始激增。
2、Trojan/Win32.Patched
家族特点：此类木马假冒微软补丁，感染指定范围的系统文件。具有下载其他恶意代码到本地执行的功能。
3、Virus/Win32.Virut
家族特点：Virut是感染可执行文件的病毒，并且每次感染的代码都不同；因为这个病毒感染时会破坏被感染程序的数据，所以经常造成反病毒软件无法正常修复被感染的程序。该病毒还将自身放置在系统还原目录中，并在每个磁盘根目录下释放autorun.inf文件，利用可移动存储介质进行传播。
4、Trojan/Win32.Agent
家族特点：此类木马的表现特点较多，不同变种间的变化也较大，一般具有下载其他恶意代码到本地执行、盗取密码与用户信息、远程控制、访问指定网站等功能。
5、Trojan/Win32.Vilsel
家族特点：此类木马以盗取网络游戏账号为主要目的，通常利用恶意DLL文件伪装成设备驱动程序后缀名，通过调用输入法使系统进程rundll32.exe加载木马。
6、Virus/Win32.Parite
家族特点：该病毒首次发现于2008年末，至今已有多个变种。此类病毒感染本地及共享网络上的exe及scr为后缀名的可执行文件。感染方式是在文件尾增加一个新的区块，将病毒代码写入该区块中，被感染后的文件将先执行病毒代码，再执行原程序的代码。此外该病毒还具有删除反病毒软件注册表；结束反病毒软件进程等功能。
7、Trojan/Win32.VBKrypt
家族特点：此类木马是Visual Basic编写的木马家族，因该家族是以编写语言为标准进行划分的，所以该家族并没有统一的恶意行为。
8、Trojan/Win32.CodecPack
家族特点：此类木马是以下载为主要目的的木马家族，尝试检测自己是否在虚拟机中运行，如果是则结束进程，并删除自身；对自身数据进行码操作，得出URL，连接该URL，读取要下载的URL列表将恶意代码下载到本地运行。
9、Trojan/Win32.Cosmu
家族特点：该类木马替换指定防火墙程序，并修改指定的安全软件，阻止反病毒软件对病毒的查杀，降低系统的安全性能。通过COM对象调用IE访问指定地址。
10、Trojan/Win32.OnLineGames
家族特点：此类木马是以盗取在线游戏账号与密码等信息为目的的木马，通过web、邮件等方式回传盗取的信息。

• 5.2 2011年上半年每月新增家族数量统计

2011年上半年共新增家族数量9271个，除了3月份达到最高值（1977个）外，其它月份增长趋势比较平稳。恶意代码家族数量的不断增加，也很大程度上增加了安全产品的检测难度。



• 5.3 2011年上半年新增家族TOP10统计

序号	名称	数量
1	Trojan/Win32.Menti	5151
2	Trojan/Win32.Diple	3554
3	Hoax/Win32.FlashApp	1287
4	Hoax/Win32.ExpProc	903
5	Hoax/Win32.SMWnd	879
6	Trojan/Win32.Dapato	753
7	Backdoor/Win32.Xtoober	698
8	Trojan/Win32.Regie	676
9	Trojan/Win32.Arto	552
10	Trojan/Win32.Ruftar	445

二. 2011年上半年网络安全威胁

1.网站挂马威胁

• 1.1 2011年上半年挂马数据统计

2011年上半年共拦截331万个挂马页面，比2009年上半年降低了28.1%。从每月拦截的挂马页面数量来看，1月份拦截挂马数量最多（76万个），然后渐渐回落，4月份达到低谷（42万个），由于0day漏洞的出现，5、6月份挂马数量渐渐回升。



• 1.2 2011年上半年恶意网站地域分布统计

恶意网站也就是存放网页木马的网站，从图中可以看出，疫情最为严重的来自于我国的江苏、广东、福建等省。



• 1.3 恶意网站顶级域名统计

根据2011年上半年恶意网站顶级域名统计来看，以“.org”域名最为活跃，其次是“.com”、“.net”域名。



• 1.4 2011年上半年漏洞利用情况

网页木马是利用漏洞来传播木马病毒的，网页木马利用漏洞又可分为系统漏洞和第三方软件漏洞，主流的浏览器与第三方应用软件由于装机量高，也由此成为了攻击者的重点关注对象，高危漏洞也由此不断爆出。

2011年上半年网页木马漏洞利用方面，以IE浏览器漏洞（CVE-2010-0806）为主，攻击者为了增加中马概率，其它老漏洞也偶尔会同时出现在挂马页面中；在6月份出现的IE浏览器0day漏洞（CVE-2011-1255）和Adobe Flash Player 0day漏洞（CVE-2011-2110），目前在国内已经发现有利用这两个漏洞挂马的案例，Flash漏洞的利用在国外比较多见。

• 1.5 恶意网站域名TOP10统计

通常情况下，攻击者为了增加网页木马的安全性与隐蔽性，网页木马通常不会与挂马页面放置在同一个网站上，攻击者通常会入侵到另一个网站，获得权限后放置网页木马，这些网站由于缺乏安全管理，会被长期放马，下面是2011年上半年对恶意网站域名按截获数量进行统计的Top10排名。

排名	名称
1	old.suburbs510.com
2	www.game163.in
3	qvod.thesswws.com
4	www.duowan.in
5	tlbb.27daill.com
6	baidu.x0day.com
7	w0w.ddns.us
8	www.heiseyoumo.com
9	www.c41840.com
10	www.315uu.com

• 1.6 2011年上半年十大知名网站挂马统计

网页木马是传播木马病毒主要途径之一，知名网站由于访问量大，通常会成为攻击者关注的目标，一旦这些网站被挂马，其木马传播速度与辐射范围相当惊人。

日期	网站名称	被挂马地址
2011-01-05	中华网	http://health.china.com/yuer/feiyan/yufang/201005/10-68073.html
2011-01-25	苹果在线	http://www.chinamac.com/ipod/
2011-02-17	东方卫视	http://www.dragontv.cn/jm/jm/IE.html
2011-02-18	广西电视网	http://v.gxtv.cn/memory/ie.html
2011-02-24	原创中国网	http://www.58com.com/web/musicbook/occf_show.aspx?id=71
2011-03-09	无忧音乐网	http://www.51y.com/51y/30031.html
2011-03-22	搜娱网	http://book.sooyuu.com/BookInfo/200706/200709211459213582.html
2011-04-06	中国雅戈尔	http://www.youngor.com/flash/pic/yx/CUTE-IE.html
2011-05-03	中国设计之窗	http://www.333cn.com/news/photo/question.php?newmap=2&k=1227294
2011-06-27	江南都市商城	http://shop.jnds.com.cn/wap/361.html

• 1.7 2011年上半年十大高校网站挂马统计

对2011年上半年国家重点高校的挂马情况统计发现，其中有多所高校半年内多次被挂马，高校网站代表一所高校的形象，频繁挂马不仅影响形象，还会大大降低信任度。

日期	网站名称	被挂马地址
2011-01-10	中国科学技术大学	http://astro.ustc.edu.cn/cache/w.htm?bbs.jhnews.com.cn
2011-01-20	浙江大学	http://zdgh.zju.edu.cn/bbs/dnok.php?id=htm.3422
2011-01-20	暨南大学	http://yudi.jnu.edu.cn/Inc/wen.html
2011-02-16	东北大学	http://aao.neu.edu.cn/_err./a.htm
2011-02-22	中国农业大学	http://ciee.cau.edu.cn/dqpy/index.asp
2011-02-24	北京体育大学	http://www.bsu.edu.cn/
2011-03-15	北京师范大学	http://xuan.bnu.edu.cn/
2011-04-18	同济大学	http://cyb.tongji.edu.cn/index.php?op=detailnews&news_id=75
2011-05-26	北京工商大学	http://eco.btbu.edu.cn/images/ie.htm
2011-06-21	北京交通大学	http://job.njtu.edu.cn/images/Theme/1.html

2. 钓鱼网站威胁

• 2.1 2011年上半年网络钓鱼趋势分析

网络钓鱼是指不法分子仿冒正常网站链接及内容，这些网站通常是知名度高、用户信任度较高的网站，通过电子邮件、聊天工具、手机短信等媒介进行传播，利用用户的心理弱点，通常以“中奖”信息为诱饵进行诈骗，通过打造逼真的钓鱼页面，巧妙的构思让用户信以为真，以牟取非法利益。

中国反钓鱼网站联盟的《2011年5月钓鱼网站处理简报》表明，已累计认定并处理的钓鱼网站有50118个；钓鱼网站涉及行业分布情况显示，支付交易类、金融证券类、即时通讯类，占处理总量的 97.64%。在接到的钓鱼网站举报中，涉及淘宝网、工商银行、腾讯、盛大四家单位的钓鱼网站总量占了全部举报量的96.18%。

2011年上半年，安天实验室截获的钓鱼网站的数据表明，钓鱼网站的数量较2010年同期有大幅度增长，由于钓鱼网站给地下经济带来巨大的利益，不法分子制作钓鱼的步伐加大，传播手段也更加多元化，网络钓鱼给网民个人财产带来的威胁日益严峻。

• 2.2 新浪微博钓鱼案例分析

微博近年来得到快速的发展，国内各大门户网站均开通微博服务，微博的火热也引起了钓鱼者的关注，因此利用微博钓鱼的案例也时有发生。近期安天CERT发现一起利用新浪微博传播钓鱼网站的事件。
案例分析：
1) 打开仿冒“新浪微博”的钓鱼网站（http://boom-bo.bg.tf），出现“新浪微博在七月黄金周期间与联想公司举办【微博二周年】抽奖活动”公告的页面，其中包含获奖验证码8850，点击任意超链接，进入下一页面。

2) 出现“抽奖”页面，该页面包含活动期间、活动规则及奖项设置，当输入正确的“验证码”确认后，弹出对话框提示：“此验证码为今日系统抽选的第八位用户，获得本次活动的二等奖”，点击“领取我的奖品”。

3) 在“获奖用户领奖协议书”页面，同意并确认后，出现填写“用户信息”页面，包含用户的真实姓名、联系电话、证件号码、银行卡号等内容。

4) 点击“提交表格“后，弹出对话框：“恭喜！系统已经成功保存您的资料。您是二等奖幸运用户，您将获得新浪网及联想公司送出奖金¥38000元及联想天逸F31A（奥运版）笔记本电脑。请尽快与客服人员核对您的资料，（新浪网制定领奖热线400-6761305）并在2个小时内办理您的领奖手续！”。
5) 在办理手续页面，需要用户提交500元手续费，并汇款到指定帐号。用户汇款后，钱会被转到不法分子帐号内。

6)、仿造的公证页面。

案例总结：
从整体上看，新浪微博钓鱼网站结构比较完整，显然是经过精心设计的。借“新浪微博二周年”为由，钓鱼内容合乎一定逻辑；以抽奖、中奖信息进行“钓鱼”，方法虽然有些老套，但是奖品丰厚，诱惑性依然比较强；公证页面与400领奖热线，增加了用户对钓鱼网站的可信度。
钓鱼网站由于制作水平、制作成本等因素，难免会出现一些纰漏，这里列举几条此网站存在的问题：
1） 新浪官网域名“www.sina.com.cn”与钓鱼网站域名“boom-bo.bg.tf”差距较大；
2） 每次进入“【微博二周年】抽奖活动”公告页面，都是同一个“获奖验证码”；
3） 每次输入“获奖验证码”验证后，都会中“二等奖”；
4） 可以随意填写用户信息，提交用户信息时，没有验证相关信息格式的过程。
防范建议：
当碰上类似的钓鱼网站，要多一分戒备，只要稍加细心，就会看出破绽，便不会掉进网络钓鱼的“陷阱”中。大型网站一般不会轻易改动自己的域名，一切要以官方网站发布的信息为准；凡是发布“XX网站发布抽奖”信息的，首先要判断其域名是否是官方注册的域名，可以去工业和信息化部网站的“ICP/IP 地址/域名信息备案管理系统（http://www.miibeian.gov.cn/publish/query/indexFirst.action）”查询，以判断其真伪。

3. 移动安全威胁

• 3.1 移动安全趋势分析

随着移动通讯业的飞速发展，智能手机操作系统在手机市场上得到了广泛的应用，同时也成为新的热门攻击对象，手机终端面临的安全威胁日益严重。

Android是Google研发的基于Linux平台的一款开源手机智能操作系统。近年来，Android系统在智能手机市场占有率飞速增长，目前已成为全球使用人数最多的智能手机操作系统。Android恶意代码传播途径主要有Android官方市场、国内下载站点、国内第三方市场、手机论坛等；Android恶意代码的攻击方式仍然以隐私窃取和发送扣费短信为主。

2011年上半年Android平台新出现的恶意代码家族数较去年有显著增长，2011年之前Android恶意代码家族数有5个，到2011年6月份家族数已增长到28个。Android恶意代码变种较多或感染量较大的包括Geinimi、Pjapps、Adrd、DroidDream、DroidKungfu等。

Android系统在2011年上半年出现一个较为严重的漏洞。2011年5月13日，德国安全研究员巴斯蒂安·科宁（Bastian Knings）、扬·尼克尔(Jens Nickels)等人公布了Android系统的账户认证机制中存在的一个漏洞，使攻击者可通过未加密的无线网络窃取用户的数字证书，进而以该令牌为凭据随意访问或更改用户的联系人信息、日历行程信息、个人图片信息等；根据统计，有99.7%的手机中存在这一漏洞，漏洞存在于Android 2.3.3及更早版本。漏洞公布后，Google发布了相关的安全更新，升级Android 2.3.4及以上版本的系统可解决大部分安全问题。

• 3.2 2011年上半年Android木马案例回顾

1. ADRD分析
安天实验室在第一时间捕获到ADRD木马，随后进行了深入的分析，于2011年2月18日率先发表了ADRD木马的分析报告，并提供了详细的解决方案和专杀工具（AVL PK for Android）。
报告链接：http://www.antiy.com/cn/security/2011/android_adrd_analysis.htm
2. DroidDream预警
2011年3月2日，Android手机平台出现一个新木马DroidDream。该木马自2月15日起被植入到58款常用软件之中并发布到Android官方市场。目前，Google已经删除市场上的发布者账号和被植入软件。但统计数据显示，这些软件已经有超过5万次下载安装。
报告链接：http://www.antiy.com/cn/security/2011/warning_android_rootcager.htm
3. Lightdd预警
5月30日，Android官方市场再次出现被植入恶意代码的软件。到6月2日，据多方统计，被植入恶意代码的软件已经多达34款，分别由6个不同的开发者账号上传（具体列表参见附录）。根据Android市场的软件信息，有3到12万用户下载了这些软件，受到此次攻击的影响。目前，Google已经从市场上删除了这些软件和账号。
报告链接：http://www.antiy.com/cn/security/2011/warning_android_lightdd.htm
4. Lightdd分析
Lightdd木马植入到多款手机软件中，主要行为是当手机的通话状态改变时，触发广播接收器，进而启动服务。该服务设置10小时的定时器，10小时后，开始搜集用户手机的IMEI、IMSI、国家、语言、系统版本等信息，以及手机中安装的所有应用程序列表，发送到配置文件指定的远程服务器之中。由此，造成用户信息泄露。
报告链接：http://www.antiy.com/cn/security/2011/warning-trojan-android-lightdd.htm
5. Pjapps分析
该样本是Pjapps变种，植入到手机QQ软件中，它向手机浏览器的书签中添加多个网址，并将用户个人信息发送至指定网址。具体而言，开机后或手机信号强度发生变化时，该木马启动，将“泡椒网”、“泡椒池塘”、“G3网址大全”等网址添加到手机默认浏览器的书签之中；获取并记录被感染手机的IMEI、IMSI、所属移动厂商短信中心号码、本机号码等信息到指定文件；将其中一部分隐私信息发送到指定网址；对运营商的短信中心号码发送的信息进行拦截，使用户无法发觉。
报告链接：http://www.antiy.com/cn/security/2011/warning-trojan-android-pjapps.htm

三. 2011年下半年互联网安全趋势

    2011年下半年的互联网安全形势依旧不容乐观，随着互联网地下经济的迅猛发展，不法分子通过制作恶意代码、传播恶意代码从中获取暴利，灰色产业的不断扩张，互联网安全将面临严峻的考验。