2009年中国计算机病毒疫情调查技术分析报告

小鱼儿

2009年中国计算机病毒疫情调查技术分析报告

国家计算机病毒应急处理中心

计算机病毒防治产品检验中心

一、我国计算机病毒疫情网上调查简介

为掌握我国信息网络安全和计算机病毒疫情现状和发展变化趋势，宣传、普及信息网络安全知识，提高广大用户网络安全防范意识。自从2001年4月，由公安部主办了我国首次计算机病毒疫情网上调查工作以来，今年已经是第九次调查活动。每次调查活动，国家计算机病毒应急处理中心和计算机病毒防治产品检验中心以及国内、外各病毒防治产品生产厂家和计算机用户都积极参与。
本次调查活动从7月15日至8月31日，由公安部网络安全保卫局主办，各省区市公安厅、局网络安全保卫部门、国家计算机病毒应急处理中心、国家反计算机入侵和防病毒研究中心以及新浪网站承办，国内主要计算机病毒防治厂商提供技术支持，重点调查我国互联网接入服务单位、互联网数据中心、大型互联网站、重点联网单位、计算机用户2009年以来发生网络安全事件状况以及感染计算机病毒状况。二、我国当前面临的计算机病毒疫情

在过去的一年中，全球的计算机网络安全状况继续保持较为平稳的态势，没有出现大规模网络拥塞和系统瘫痪事件。我国网络安全态势也继续延续2008年的发展趋势，网上制作、贩卖病毒、木马的活动日益猖獗，利用病毒、木马技术的网上侵财活动呈快速上升趋势，这些情况表明我国网上治安形势严峻。

（一）我国计算机用户病毒感染情况

今年计算机病毒感染率为70.51%，较去年有所下降,但仍然维持在比较高的水平；其中多次感染病毒的比率为42.71%。2008年5月至2009年8月以来，全国没有出现一种病毒短时间内大范围感染的重大疫情。这也与我国病毒主要以木马病毒为主有关，潜伏性、隐蔽性是木马病毒的特征，因此从表现上已很难再发生类似“冲击波”“熊猫烧香”这样的重大计算机病毒疫情，进一步显示出病毒趋利性的特点。计算机病毒、木马的传播方式仍然以网页挂马为主。挂马者主要通过微软以及其它应用普遍的第三方软件漏洞为攻击目标。自2008年5月至今，我国又连续出现 “木马下载器”变种、“犇牛”、“猫癣”等病毒和木马，它们都具有木马下载器以及对抗杀毒软件的功能，可以通过ARP攻击、可移动磁盘、网页挂马、感染EXE文件等方式进行传播，中毒后的受害程度取决于最终下载的木马所执行的操作。病毒制造、传播者在巨大利益的驱使下，利用病毒木马技术进行网络盗窃、诈骗活动，通过网络贩卖病毒、木马，教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多，严重威胁我国互联网的应用和发展，制约我国各种新兴互联网业务的健康发展。

　（二）计算机病毒造成的损失情况

今年调查结果显示，密码账号被盗、受到远程控制、系统（网络）无法使用、浏览器配置被修改是计算机病毒造成的主要破坏后果。自2006年以来，随着病毒破坏性的变化，病毒破坏性调查项目增加了“密码、账号被盗”选项。调查结果显示，用户密码、账号被盗的比例仍然呈上升趋势，2009年密码被盗占调查总数的27.14%，比去年增长了8.44个百分点，并且位居今年计算机病毒造成的主要危害的首位。“onlinegames”、“网游窃贼”、“犇牛”、“猫癣”等病毒利用多种传播渠道进行传播并下载木马，并帮助木马传播，盗取账号密码，攫取非法经济效益，给被感染的用户带来重大损失。2009年上半年，微软操作系统连续出现多个“零日”漏洞。5月31日，微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时，可能导致远程任意代码执行。7月8日，微软确认视频处理组件DirectShow存在MPEG零日漏洞，导致黑客对大量网站进行攻击，利用该漏洞进行网页挂马。暴风影音在今年4月30日被首次发现零日漏洞，该漏洞存在于暴风影音ActiveX控件中，该控件存在远程缓冲区溢出漏洞，利用该漏洞，黑客可以制作恶意网页，用于完全控制浏览者的计算机或传播恶意软件。同时，网上贩卖病毒、木马以及利用僵尸网络进行DDos攻击的活动数量仍然维持在较高水平，且日益公开化。

（三）我国计算机病毒传播的主要途径

我国计算机病毒主要通过电子邮件、网页下载或浏览、局域网和移动存储介质等途径传播。通过调查发现，病毒通过移动存储介质传播的比例又有所上升，该项调查结果在2007年高达41.34%，通过加强管理2008年为21.9%，呈现大幅下降趋势，但是2009年又出现上升势头达到25.40%。由于优盘等各种类型的移动存储介质的广泛使用，越来越多的病毒、木马将移动存储介质作为传播途径，并且病毒木马利用移动存储介质在内外网之间、涉密与非涉密系统之间进行数据拷贝交换的时候，窃取敏感或者涉密信息。随着移动存储介质的普及，我们必须进一步加强对此类介质的管理，严防在不同安全级别的系统之间交叉使用，同时通过修改系统配置关闭系统自动运行功能等方法，提高系统的安全级别，防止病毒木马通过移动存储介质传播。

另外，今年的问卷调查结果显示，病毒通过网页下载或浏览进行传播得比例以37.89%位居首位，比2008年上升11.48个百分点，延续了从2007年以来的大幅度增长趋势，进一步说明了目前网页“挂马”仍然是最受恶意攻击者青睐的病毒散播方式。同时，通过网络监测和用户求救的情况也反映出，大量的网络犯罪通过 “挂马”方式来实现，挂马者主要利用微软以及其它应用普遍的第三方软件（如realplay，adobe flash、暴风影音等）漏洞进行攻击。“挂马”是指在网页中嵌入恶意代码，当存在安全漏洞的用户访问这些网页时，木马会侵入用户系统，然后盗取用户敏感信息或者进行攻击、破坏。这种通过浏览页面方式进行攻击的方法具有较强的隐蔽性，用户难于发现。因此，潜在的危害性更大。我们必须持续重视浏览器和各种流行应用软件的安全性，提高对“挂马”攻击方式的防范能力。

（四）2009年我国最流行的前十种计算机病毒

1、“木马下载器”(Troj_Downloader)

2、“U盘杀手”及变种

3、“代理木马”(Troj_Agent)及变种

4、AutoRun及变种

5、“网游大盗”（Troj_OnlineGames、Gamepass）及变种

6、“灰鸽子”(GPigeon)及变种

7、Troj_Startpage及变种

8、“AV终结者”及变种

9、Html_Iframe及变种

10、Conficker及变种（Kido）

小鱼儿

调查结果显示木马下载器及“木马代理”分别排在最流行病毒的前两位，并且多年来一直流行，这也表明木马具有强大的生存能力，依然是我国广大计算机用户的主要安全威胁。这种病毒可以从指定的网址下载木马病毒或其他恶意软件，还可以通过网络和移动存储介质传播，当系统接入互联网，可能会盗取用户的账号、密码等信息并发送到指定的信箱或者网页中。十大病毒与盗取密码有关的病毒有“网游大盗”、“AV终结者”，它们都具有窃取用户的游戏帐号和密码的功能。 “灰鸽子”具有后门的功能，感染此种病毒的系统可以被黑客远程控制。“U盘杀手”和“AutoRun”都是针对移动存储介质的病毒，“U盘杀手”是一种专门窃取U盘资料的木马病毒，它不会主动传播，但会在中毒计算机操作系统的系统目录下的多个文件夹中生成不同的可执行病毒文件，一旦计算机用户点击文件，就会启动运行该病毒。“AutoRun”病毒通过Autorun.inf文件自动调用执行优盘等移动存储介质中的病毒、木马等程序，然后感染用户的计算机系统。“ HTML_Iframe”属于较为常见的脚本类病毒，被广泛用于挂马。这些脚本类病毒针对于多个网络浏览器漏洞以及多种国内外常用的应用软件漏洞（如：Adobe Reader、RealPlayer、Flash插件、暴风影音、迅雷、联众等），利用这些漏洞下载、激活病毒木马等恶意程序，对用户造成进一步危害。“Conficker” 蠕虫病毒具有极强的破坏能力，不仅能够创建十分强大的僵尸网络，还可以通过本地网络和移动存储介质进行传播。Troj_Startpage 是防毒软件对某一类木马的统称, 它并不代表着固定的一个病毒，而是指一类木马病毒。
通过对我国主要流行病毒的特点分析，当前用户系统感染的病毒本土化趋势更加明显，很多病毒主要是针对国内一些应用程序专门制作的，如某一款网络游戏和网络银行等。“零日”漏洞与日俱增，网页挂马现象日益严重，除了操作系统以及浏览器存在的漏洞，众多应用工具软件漏洞也大量被病毒利用，比如各种IM即时通讯聊天工具漏洞、播放器漏洞、网络电视播放软件漏洞、甚至搜索工具条漏洞都被黑客大量利用来进行网页挂马，从而给个人和单位用户造成严重的损失。同时，由于网页挂马方式已成为病毒传播的主要途径，因此脚本类病毒呈明显上升趋势。脚本类病毒的变种速度更快、灵活度更高，且通常都是利用多种漏洞，防范难度更大。另外，病毒、木马编制者广泛采用加壳、加密技术，使得病毒变种速度加快，网上甚至出现加多层壳的病毒，增加了查杀难度。
三、我国当前计算机病毒防治策略
针对目前日益增多的计算机病毒和各类黑客木马程序的攻击，我们根据所掌握的这些病毒的特点和未来的发展趋势，我们制定了近期的病毒防治策略，供我国计算机用户参考。
1、        结合等级保护工作、加强对重点单位的监督管理
    认真贯彻落实公安部第51号令《计算机病毒防治管理办法》和第82号令《互联网安全保护技术措施规定》等法令法规。互联网服务提供者、联网使用单位和广大计算机用户应该依法加强管理，落实病毒防治技术措施，提高抵御计算机病毒攻击、破坏的能力。并结合重要信息系统安全等级保护工作，加强重要信息系统的病毒防范工作，严防各类病毒、木马的侵袭，建立有效的管理机制，制定有针对性的病毒防控安全策略，并监督各项安全管理制度的落实情况。对于IDC和网站建设、维护单位应该加强对网站的安全管理和技术防范工作，防止网站遭受入侵被“挂马”。IDC应该建立安全审核和巡查制度，清除提供贩卖、交换木马、病毒的网站和恶意“挂马”网站。应加强对域名服务商的管理，积极推进域名注册实名制，遏制恶意网站的发展趋势。
1、        严厉打击网络犯罪活动
当前，我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，给用户造成严重损失。
2、        加快我国网络病毒综合防控体系建设
在公安部领导下，大力开展我国网络病毒综合防控体系建设。以国家计算机病毒应急处理中心为依托，以反病毒企业、网络运营商和网络安全员为辅助，以警防网、技防网和民防网的“三张”网建设为主要载体，全面构建我国网络病毒综合防控体系。并充分依靠该体系，调动国内外各种反病毒资源力量，有效提高我国对计算机病毒的发现和应急处置能力。
3、        采取有效措施提高网站安全防护水平
制订网站安全评估标准，加强对网站建设和日常运行维护的安全，防止网站遭受入侵挂马。建立预警监测体系，及时发现挂马网站，采取有效措施进行应急处置，防止病毒进一步传播蔓延。
4、        加强对计算机病毒防治产品质量的动态监督管理工作
随着病毒、木马等恶意软件攻击力、破坏力的不断增强，我们也要不断提高计算机病毒防治产品的技术和水平，才能有效抵御病毒的攻击。但是，由于病毒防治产品具有高度动态性的特点，如何保障防病毒产品自身的质量，也日益受到关注。我们可以通过加强防病毒产品升级流程的监督管理，以减少各类误报、误杀事件，防止由于安全产品的质量问题带来新的安全问题。
5、        加强对各类网上交易系统的安全保障措施
由于计算机病毒逐步转向攻击各种网上交易系统，提供网上交易服务的企业和部门应该加强对此类系统得安全保障措施，同时加强对用户安全防范意识的宣传，防止发生攻击事件和针对用户的网络犯罪活动。
6、        积极推动反病毒服务业的发展
计算机病毒防治产品动态性的特点决定了反病毒企业必须具备良好的病毒监测收集能力、快速准确的分析能力、快捷可靠的升级能力。这些能力都是反病毒企业服务能力和水平的体现。为了应对日益严重的病毒攻击和破坏，国家计算机病毒应急处理中心作为专业的安全服务机构可以提供直接远程管理用户的防病毒系统的服务，通过安全评估服务，在线监测服务，病毒演习和培训以及应急处置服务，及时发现用户存在的安全问题，采取有效防治措施，避免用户感染病毒。通过这种新型的反病毒服务模式，取代传统的用户自行采购、安装使用反病毒产品的模式，弥补用户专业人员少、技术薄弱的缺陷，全面提高用户防病毒的水平。
7、        加强安全培训，提高安全防范意识和病毒防治技术
从调查数据显示，国内对病毒防治培训需求较大。加大安全培训力度，提高用户的安全防范意识和病毒防治技术。