【賽迪網-IT技術報道】安天實驗室對2008上半年度計算機病毒疫情進行了全方位的分析與統計,病毒的發展態式呈上升趨勢,在原有病毒技術外,還不斷出現新的分類。2008年上半年信息安全威脅情況明顯超過以往任何一年,不僅新增大量惡意代碼家族,而且新增病毒總體數量更是達到百萬數量級之多。在互聯網已然成為現實社會虛擬對等體的今天,我們在體會信息時代帶來的各種便利的同時,也同時發現當前的信息環境存在大量的安全問題。
回望2007,當威金、熊貓燒香、AV終結者、網游木馬……這些惡意代碼開始集中爆發,任何一個網絡用戶都可輕鬆購得各種惡意代碼軟體,甚至直接購買病毒源碼進行病毒變種開發。惡意代碼在互聯網上瘋狂肆虐,無視反病毒軟體的存在,入侵用戶機器已經不再躲躲藏藏,而是變得公開化,主動攻擊反病毒軟體。惡意代碼在互聯網上公然進行的「偷」、「搶」、「騙」時,中國「黑客地下經濟體系與產業鏈」的冰山一角漸漸浮現出來。
隨著幾起網絡犯罪案的偵破,能夠說明一個問題:一條完備、嚴密的黑客地下經濟體系與產業鏈已經形成;網絡犯罪已經組織化、規模化、公開化;作案團伙成員分工明確、各司其職,人員數量龐大。2008年上半年主要特點為:攻擊者非法利益目的更加明確、行為更加囂張。以木馬產業鏈為代表:製造木馬、傳播木馬、盜竊用戶信息、第三方平台銷贓、洗錢分贓。在利益驅動下,網絡安全事故將更加複雜化、頻繁化、隱蔽化。
1.2008上半年度計算機病毒疫情統計與分析
・2005-2008年上半年同期新增病毒數量對比圖
2008上半年病毒總體增長幅度特別驚人,下圖列出了2005到2008年上半年同期新增病毒數量。從對比中可知2005到2007每年上半年度增長還是比較緩慢的;隨著互聯網的快速發展,計算機的普及,各種入門級的黑客教程、病毒自動生成機、網馬生成器等的日益公開化買賣,特別是病毒源代碼的公開等;基於以上種種原因,2005到2007年上半年度每年增長幅度都相對正常。但若依據2005到2007的增長速度來推斷,2008年上半年度的病毒數量是不正常的,增長幅度太大。經安天實驗室的總體監控分析得出:之所以增長幅度如此之大,是因為(除以上列出的原因之外)黑客地下經濟體系與產業鏈日益龐大健全的結果,使病毒的製造傳播「批量化」、盜竊「專一化」、銷贓「專業化」;最終使2008年上半年病毒數量達到了132.52萬之多。
・2007上半年與2008上半年新截獲各類病毒對比圖
08上半年度新增各類病毒數目與07上半年相比也不同程度的略有增加,其中木馬增加最多為7604511個,後門增加了163783個,蠕蟲增加了85888個,其它類比去年同期略有增長。從這個變化趨勢可以看出,08上半年在總體數量增加的同時,並不是單一的類別增加,而是都有所增長,顯現出08上半年病毒的活動並不是以某一單一類別為主角的,而是多類別協從侵害用戶機器,以病毒群體的形式對用戶機進行攻擊。其中以木馬攻擊最為迅猛,給用戶帶來的直接和間接經濟損失也是最大的。
・2008上半年新截獲各類病毒比例
安天實驗室對2008上半年新截獲各類病毒比例進行分析可知木馬的基數最大,占總比例的67%,在上半年新增的惡意代碼中木馬以快速獲利為目標,變種之多、更新頻率之快,位居類別之首。後門占總比例的15%,所佔比例與去年同期基本持平;主要以Bot類居多,同時國內製造的後門略有增多。
蠕蟲與病毒分別占總比例的8%和1%,與以往的比例相比,已失去了其昔日惡意代碼主流地位的輝煌。可見在感染式病毒漸漸的退出惡意代碼這個大舞台的同時,蠕蟲也失去了以前的主導地位,而是朝著輔助工具的方向發展,主要的用途是作為木馬傳播的載體;其目的就是通過自身傳播能力、攻擊能力,以自身作為載體將木馬安裝到用戶系統中;在惡意代碼中的佔有率日漸萎縮。
間諜軟體與廣告件的數目逐年增多,在利益的驅使下,一些非法團體或非法廠商利用中國對間諜軟體與廣告件的法律還不夠健全這一空子,大肆製作產品廣告,以流氓的手段在用戶沒有許可的情況下,強行在用戶電腦上執行、收集信息、顯示廣告等。 總之,各類病毒都在不同程度的增長與發展,使08年上半年的病毒態勢相比同期07年趨於嚴重惡化。
・2008年上半年各月新增病毒統計
從圖中1-6月的新增病毒走勢可見春節前後的2月是一個低谷期,病毒增長略加緩慢。從2月過後,便持續增長,到5月達到最高點,預計08下半年病毒走勢還應在不低於5月的數量向上繼續增長。
・2008年上半年各月新增家族數量統計
操作系統和應用程序等的更新換代,必然會出現一些老的病毒家族的淘汰和新病毒家族類別誕生,而且新增家族無論是基數還是類別上都比淘汰的家族要多很多。從圖中分析可知08年上半年各月的新增家族數量,其中以5、6兩個月增長最為突出。新增家族也給反病毒界帶來一定的挑戰,以特徵碼檢測為例:新增的家族,老的特徵庫中必然沒有其特徵儲存,那麼只有哪家反病毒廠商能夠第一時間捕獲樣本,才能夠去第一時間查殺。顯然反病毒廠商明顯還是處在被動的環境中。
・2008年上半年每月各類病毒數目統計
從上面的分析得出了總體病毒形勢,接下來通過下圖來具體分析2008年上半年每月各類病毒數目情況。從2008年各類病毒占比的分析中可知,木馬、後門、蠕蟲佔了總病毒比例排名的前三名,同樣,在各月的分析中,此三類惡意代碼每月占比仍遙遙領先,尤以木馬走勢最為明顯。
・2008年上半年度十大病毒排名
下表是2008年上半年度十大病毒排名,OnLineGames盜號木馬以其絕對數量優勢排名第一。各式各樣的網絡遊戲不斷推出,遊戲玩家不斷增多,致使網絡遊戲中的虛擬財產逐漸被廣大網絡用戶所認知,這也正給不法分子營造了一個銷售平台。在此環境下OnLineGames盜號木馬的數量迅速上升,直到以龐大的基數穩居排名榜第一位。當機器狗在網吧瘋狂肆虐的時候,磁碟機更是讓個人用戶吃盡了苦頭,他們在十大排名中與OnLineGames盜號木馬一樣都排在了前列。Bot後門今年仍然是有增無減,以國外控制端較多。下載型木馬,沃忒客,USB隨身碟寄生蟲,木馬代理,木馬輔助工具,AV終結者這六種惡意代碼同樣對用戶敏感信息造成了不同程度的盜取與破壞。
綜上所述:木馬之所以會發展如此之快,是因為當今惡意代碼的主流不再以比拚技術為主,而是以快速謀取金錢利益為目標。木馬開發週期短,上手快,可以最少的成本來獲取最大的收益,正迎合了當今惡意代碼以利益為導向的發展方向。而傳統的感染式病毒和蠕蟲技術門檻相當高,開發週期長,不能達到快速獲利,而且在原代碼的基礎上變種更新相當困難,復用性不強,注定了已經不適應當前惡意代碼的發展形式;通過以上的詳細分析可知,木馬現已佔據了一半以上的惡意代碼數量並不斷的增加;因此已成為當今惡意代碼的主流,已經取代感染式病毒和蠕蟲在惡意代碼中不可動搖的地位。
(