|
注:本报告中引用的数据均来自卡巴斯基实验室的“云安全”体系——卡巴斯基安全网络(KSN)。卡巴斯基安全网络是卡巴斯基实验室在个人产品中所采用的一项具有创新意义的新系统。目前,卡巴斯基实验室正着手将此系统应用于卡巴斯基企业产品中。卡巴斯基安全网络使得病毒分析专家能够实时监测那些尚未被加入特征库及启发式检测库的新生恶意程序。卡巴斯基安全网络还能够识别互联网上传播恶意程序的源头,阻止用户访问这些资源。卡巴斯基安全网络有效提高了对新生威胁的反应速度(目前,我们可以通过卡巴斯基安全网络在确定某个程序为恶意程序后的几十分之一秒内阻止其在计算机上运行),并且不需要进行常规的反病毒数据库更新。
一、互联网上的恶意程序(网页攻击)
作为网页攻击恶意程序的代表——Gumblar所带来的问题,在本系列报告的其他章节中也有详细介绍。事实上,Gumblar恶意程序引发的疫情仅仅是网页感染的冰山一角,过去的几年里,网页攻击已经成为感染计算机的主要手段。
网络罪犯仅用很短的时间就开始利用这些新的机会,使用大量受感染的网站成功创建了很多功能强大、自我繁殖能力超强的僵尸网络。他们还利用社交网络的各种漏洞及会员之间的高度信任,开展各种攻击。社交网络用户在接到一个“好友”发过来的文件或链接时,更倾向于直接运行这些文件或者点击链接,其可能性大约是打开或点击通过电子邮件接收到的文件或链接的十倍。网络罪犯非常积极地利用社交网络中人们之间的信任,肆意传播大量恶意程序和垃圾邮件。
过去,卡巴斯基曾经就路过式下载的恶意程序感染技术发表多篇文章。该技术能够在用户浏览网页时,悄悄地感染计算机。2009年,此类网络攻击的数量几乎翻了三倍,其总量甚至以千万计。
通过卡巴斯基安全网络,我们能够快速而精确地确定此类攻击的次数,并对恶意软件感染计算机的行为进行深入的分析。
在2009年,卡巴斯基安全网络共检测到7361万9767次此类针对计算机用户的攻击。而2008年,此类攻击数量为2368万零646次。除了尝试向受感染计算机下载恶意程序或其它不良程序外,该类攻击还有试图访问钓鱼网站或恶意网站等行为,其数量为1489万9238次。幸运的是,这些恶意行为都被卡巴斯基反病毒产品成功拦截。
1.2009年互联网上排名前20位的恶意程序
| |
序号
|
攻击数量 |
占全部攻击
数量百分比% |
| 1 |
HEUR:Trojan.Script.Iframer
|
9858304 |
13.39 |
| 2 |
Trojan-Downloader.JS.Gumblar.x
|
2940448 |
3.99
|
| 3 |
not-a-virus:AdWare.Win32.Boran.z
|
2875110 |
3.91
|
| 4 |
HEUR:Exploit.Script.Generic
|
2571443 |
3.49
|
| 5 |
HEUR:Trojan-Downloader.Script.Generic
|
1512262 |
2.05
|
| 6 |
HEUR:Trojan.Win32.Generic
|
1396496 |
1.9
|
| 7 |
Worm.VBS.Autorun.hf
|
1131293 |
1.54
|
| 8 |
Trojan-Downloader.HTML.IFrame.sz
|
935231 |
1.27
|
| 9 |
HEUR:Exploit.Script.Generic
|
752690 |
1.02
|
| 10
|
Trojan.JS.Redirector.l
|
705627 |
0.96
|
| 11
|
Packed.JS.Agent.bd
|
546184 |
0.74
|
| 12
|
Trojan-Clicker.HTML.Agent.aq
|
379872 |
0.52
|
| 13
|
HEUR:Trojan-Downloader.Win32.Generic
|
322166 |
0.44
|
| 14
|
Trojan.JS.Agent.aat
|
271448 |
0.37
|
| 15
|
Trojan-Downloader.Win32.Small.aacq
|
265172 |
0.36
|
| 16
|
Trojan-Clicker.HTML.IFrame.ani
|
224657 |
0.31
|
| 17
|
Trojan-Clicker.JS.Iframe.be
|
216738 |
0.3
|
| 18
|
Trojan-Downloader.JS.Zapchast.m
|
193130 |
0.27
|
| 19
|
Trojan.JS.Iframe.ez
|
175401 |
0.24
|
| 20
|
not-a-virus:AdWare.Win32.GamezTar.a
|
170085 |
0.23
|
| |
全部:
|
27443757 |
37.3 |
排名第一的恶意程序领先优势非常明显,通过卡巴斯基的启发式检测技术可以对其进行准确识别。其主要特征是黑客或恶意软件将恶意链接注入到被攻陷的网站代码中。这类恶意链接会使得浏览器隐蔽地访问其它包含漏洞利用程序的网站,这些漏洞利用程序针对的攻击目标就是浏览器或应用程序漏洞。
排名第二的恶意程序是Gumblar,考虑到其造成的大范围疫情,这个排名不足为奇。卡巴斯基实验室产品共监测到超过300万次连接Gumblar僵尸网络服务器的尝试(均被卡巴斯基成功阻断并清除),这使得我们从侧面了解到此恶意程序所造成危害的程度。
排名第三的是一个名为Boran.z. Adware的广告软件,它和垃圾邮件及色情内容一起,在很早以前就成为推动网络犯罪的主要力量。
几乎上述每个恶意软件都会同一个或多个漏洞攻击代码相关联。
二、网络攻击
在现在的安全解决方案中,防火墙是一个必不可缺的基础组成部分。防火墙能够拦截广泛的由外部发起的网络攻击(除了通过浏览器发起的攻击)。此外,防火墙还能够有效阻止机密数据被窃。
卡巴斯基全功能安全软件整合了具备入侵检测系统(IDS)的防火墙,能够实时分析进入计算机的数据包。入站数据包经常会包含漏洞攻击代码,用于感染未打补丁的计算机系统或通过攻击操作系统的网络服务漏洞来帮助网络罪犯获取计算机的全部访问权限。
2009年,卡巴斯基全功能安全软件2010的入侵检测系统(IDS)拦截了超过2亿1989万9678次的网络攻击。而2008年,拦截的相关攻击数量只有略多于三千万次。
| |
名称
|
攻击数量 |
| 1 |
China (mainland)
|
52.7% |
| 2 |
USA |
19.02% |
| 3 |
Netherlands |
5.86% |
| 4 |
Germany |
5.07% |
| 5 |
Russia |
2.58% |
| 6 |
Great Britain |
2.54% |
| 7 |
Canada |
2.22% |
| 8 |
Ukraine |
2.17% |
| 9 |
Latvia |
1.53% |
| 10
|
France |
0.6%
|
| 11
|
Spain |
0.49% |
| 12
|
North Korea |
0.48% |
| 13
|
Brazil |
0.44% |
| 14
|
Cyprus |
0.34% |
| 15
|
Sweden |
0.32% |
| 16
|
Taiwan |
0.27% |
| 17
|
Norway |
0.23% |
| 18
|
Israel |
0.21% |
| 19
|
Luxemburg |
0.16% |
| 20
|
Estonia |
0.16% |
| |
全部:
|
97.38% |
几乎上述每个恶意软件都会同一个或多个漏洞攻击代码相关联。
排名第二的是NETAPI.buffer-overflow.exploit,这是一个有趣但是危害严重的威胁。它的攻击目标是微软操作系统的MS08-067漏洞。这正好也是恶名远播的Kido(conficker)蠕虫所攻击的漏洞。Kido蠕虫是在2008年末被发现的,并在去年的年度排名里列第四位。毫无疑问,Kido所造成的攻击在3200万次针对MS08-067漏洞的攻击中占了绝大多数。直到2009年,这些针对MS08-067攻击才被发现并阻止。
尽管排名第三的Helkern (Slammer)已经存在超过七年,但它仍然处于活动状态,并且在2009年造成了2300万次感染攻击。居第四位的RPC-DCOM (MS03-026)漏洞攻击代码也同样很“长寿”,Lovesan蠕虫曾经在2003年8月利用此漏洞造成了一次全球的疫情。
三、本地感染
关于被感染计算机的本地感染数据非常重要。这些统计提供了那些通过其他渠道而非网页、电子邮件或网络端口等途径入侵计算机的威胁次数的数据。
2009年,卡巴斯基实验室的产品在加入卡巴斯基安全网络的计算机上共成功检测和清除了1亿737万258 次病毒感染,其中涉及70万3700种恶意程序以及潜在的不良程序。我们还发现,其中2857万9901次的病毒感染都是由100种最常见的恶意程序造成的,占全部病毒感染案例的27%。
最常见的20种威胁如下表所示:
| 序号 |
对象
|
检测到的感染计算机数量 |
| 1 |
HEUR:Trojan.Win32.Generic
|
3050753 |
| 2 |
Net-Worm.Win32.Kido.ih
|
2924062 |
| 3 |
Virus.Win32.Sality.aa
|
1407976 |
| 4 |
Net-Worm.Win32.Kido.ir
|
1176726 |
| 5 |
UDS:DangerousObject.Multi.Generic
|
620716 |
| 6 |
Packed.Win32.Black.d
|
527718 |
| 7 |
Net-Worm.Win32.Kido.iq
|
518120 |
| 8 |
HEUR:Worm.Win32.Generic
|
516467 |
| 9 |
Virus.Win32.Virut.ce
|
488852 |
| 10
|
not-a-virus:AdWare.Win32.Boran.z
|
466106 |
| 11
|
Virus.Win32.Induc.a
|
455798 |
| 12
|
HEUR:Trojan-Downloader.Win32.Generic
|
436229 |
| 13
|
HEUR:Trojan.Win32.StartPage
|
412245 |
| 14
|
MultiPacked.Multi.Generic
|
377741 |
| 15
|
Trojan-Downloader.Win32.VB.eql
|
362685 |
| 16
|
Worm.Win32.FlyStudio.cu
|
361056 |
| 17
|
Trojan-Dropper.Win32.Flystud.yo
|
356950 |
| 18
|
Packed.Win32.Black.a
|
333705 |
| 19
|
Packed.Win32.Klone.bj
|
320665 |
| 20
|
Trojan.Win32.Chifrax.a
|
296947 |
卡巴斯基启发式检测技术共发现了超过300万次的感染尝试,并且这些尝试行为最终都被成功拦截。通过启发式检测技术检测到的主要威胁在排名中也占有一席之地:
HEUR:Trojan.Win32.Generic,HEUR:Worm.Win32.Generic
HEUR:Trojan-Downloader.Win32.Generic和HEUR:Trojan.Win32.StartPage
前面已经提过,今年最大的疫情是由Kido(Conficker)蠕虫造成的,该蠕虫感染了全球数百万台计算机。此蠕虫的三个变种都在排名中占有重要地位: Kido.ir、Kido.ih和Kido.iq。总的算起来,这三个恶意软件的危害 远胜过今年的排名首位(HEUR:Trojan.Win32.Generic),它们所感染的计算机数量超过前者150万还多。
Sality.aa病毒仅次于Kido蠕虫,它同样在去年造成了一次全球疫情。同时,它还是我们去年年度报告中的冠军。但是需要指出的是,Sality病毒并没有在首位坚持多久,就被网络蠕虫挤了下来。
除了Sality病毒,上表中还有两个病毒需要介绍,第一个为一种典型的文件型病毒,而第二个是一个创新,无法被划归于目前的恶意软件类型中。
首先,名为Virus.Win32.Virut.ce的病毒除了其主要危害外(感染可执行文件),还能够感染网页服务器,并且可以通过P2P网络进行传播。由Virut病毒造成的疫情也是2009年值得注意的一次恶意软件爆发案例。
第二个要介绍的病毒为Virus.Win32.Induc.a,它是一个非标准病毒,能够利用Delphi创建可执行文件时所采用的两段式算法的漏洞进行感染。这过程中发生的是,应用程序源代码首先被编译成一个中间.dcu模块,然后才会被转换成Windows可执行程序。目前,该病毒并不会表现出恶意行为和功能,只会表现出感染特性,但是它已经证明了这样一种新型的潜在感染途径。需要注意的是,发现该病毒花了很长的时间(被感染文件最早出现于2008年底,但病毒本身直到2009年8月才被发现),这是由于此恶意程序除了具有自我传播外,并没有表现出真正的恶意行为。
紧急检测系统(UDS)是卡巴斯基安全网络的一部分,正是由于UDS,才使得我们快速检测并实时保护了超过60万台计算机不被一种新型的恶意文件感染:UDS:DangersouObject.Multi.Generic。
此外,还需要特别注意的是使用FlyStudio(一种脚本语言)编写的大量恶意程序。排名中有三个属于此类的恶意程序:Worm.Win32.FlyStudio.cu,Trojan-Dropper.Win32.Flystud.yo以及Packed.Win32.Klone.bj。
在2009年,病毒编写领域有一个明显的趋势,即这些新的恶意程序都采用了专门编写的加壳程序进行加壳或模糊化。这种手段是为了阻止反病毒软件对已知恶意软件的检测和分析。排名中也包含了这一类的加壳程序:Packed.Win32.Black.a,Packed.Win32.Black.d和Packed.Win32.Klone.bj。
四、漏洞
软件和操作系统漏洞是危险程度最高的安全隐患之一。漏洞可以让网络罪犯有机会绕过保护机制,直接攻击计算机。2009年最大的由Kido蠕虫引起的疫情就是利用了Windows操作系统的一个致命漏洞造成的。
然而,就在一年前,浏览器还是最普遍的攻击媒介。虽然浏览器自身可能并没有漏洞,但是如果与该浏览器相关的的插件或应用程序有漏洞,恶意程序仍然可以感染此计算机。
2009年,卡巴斯基的漏洞分析系统共发现了404种不同的漏洞,并且在用户计算机上发现了共计4亿6182万8538个存在漏洞的文件和应用程序。
我们分析了20种最常见的漏洞,这些漏洞占卡巴斯基产品在用户计算机上所发现的含有漏洞的文件和应用程序总数的90%(4亿1560万8137)。
| 序号
|
ID
|
漏洞
|
发现的漏洞文件和应用程序数量 |
占全部漏洞文件和应用程序比例 |
威胁评级
|
安全危害
|
发布日期 |
| 1 |
33632 |
Apple QuickTime
Multiple Vulnerabilities |
165658505 |
35,87 |
严重
|
系统访问 |
22.01.2009 |
| 2 |
35091 |
Apple QuickTime
Multiple Vulnerabilities |
68645338 |
14.86 |
严重
|
系统访问 |
22.05.2009 |
| 3 |
31821 |
Apple QuickTime
Multiple Vulnerabilities |
58141113 |
12,59 |
严重
|
系统访问 |
10.09.2008 |
| 4 |
29293 |
Apple QuickTime
Multiple Vulnerabilities |
38368954 |
8,31 |
严重
|
系统访问 |
10.06.2008 |
| 5 |
23655 |
Microsoft XML
Core Services Multiple Vulnerabilities |
8906277 |
1,93 |
严重
|
跨网站攻击程式, 拒绝服务, 系统访问 |
09.01.2007 |
| 6 |
34012 |
Adobe Flash
Player Multiple Vulnerabilities |
7728963 |
1,67 |
严重
|
绕过安全过滤,敏感信息泄漏, 权限提升, 系统访问 |
25.02.2009 |
| 7 |
34451 |
Sun Java JDK /
JRE Multiple Vulnerabilities |
6783414 |
1,47 |
严重
|
绕过安全过滤, 拒绝服务, 系统访问 |
26.03.2009 |
| 8 |
29320 |
Microsoft Outlook
"mailto:" URI Handling Vulnerability |
6336962 |
1,37 |
严重
|
系统访问 |
11.03.2008 |
| 9 |
35364 |
Microsoft Excel
Multiple Vulnerabilities |
6290278 |
1,36 |
严重
|
系统访问 |
09.06.2009 |
| 10
|
35377 |
Microsoft Office
Word Two Vulnerabilities |
6088207 |
1,32 |
严重
|
系统访问 |
09.06.2009 |
| 11
|
34572 |
Microsoft
PowerPoint OutlineTextRefAtom Parsing Vulnerability |
5704617 |
1,24 |
高危 |
系统访问 |
03.04.2009 |
| 12
|
31744 |
Microsoft Office
OneNote URI Handling Vulnerability |
5652570 |
1,22 |
严重
|
系统访问 |
09.09.2008 |
| 13
|
32270 |
Adobe Flash
Player Multiple Security Issues and Vulnerabilities |
5078221 |
1,1 |
一般严重 |
绕过安全过滤, 跨网站攻击程式, 数据操作, 敏感信息泄漏 |
16.10.2008 |
| 14
|
35948 |
Adobe Flash
Player Multiple Vulnerabilities |
5073297 |
1,1 |
严重
|
绕过安全过滤, 敏感信息泄漏, 系统访问 |
23.07.2009 |
| 15
|
30285 |
Microsoft Office
Word Multiple Vulnerabilities |
4984582 |
1,08 |
严重
|
系统访问 |
09.12.2008 |
| 16
|
31453 |
Microsoft Office
PowerPoint Multiple Vulnerabilities |
4203122 |
0,91 |
严重
|
系统访问 |
12.08.2008 |
| 17
|
30150 |
Microsoft
Publisher Object Handler Validation Vulnerability |
3965019 |
0,86 |
严重
|
系统访问 |
13.05.2008 |
| 18
|
32991 |
Sun Java JDK /
JRE Multiple Vulnerabilities |
2980650 |
0,65 |
严重
|
绕过安全过滤, 敏感信息泄漏, 拒绝服务, 系统访问 |
04.12.2008 |
| 19
|
31593 |
Microsoft Excel
Multiple Vulnerabilities |
2604816 |
0,56 |
严重
|
系统访问 |
09.12.2008 |
| 20
|
26027 |
Adobe Flash
Player Multiple Vulnerabilities |
2413232 |
0,52 |
严重
|
敏感信息泄漏, 系统访问 |
11.07.2007 |
| |
|
全部 |
415608137 |
89,99 |
|
|
|
在五种最常见的漏洞中,前两个发现于2009年,第三及第四个发现于2008年,排名第五的Microsoft XML Core Services漏洞则要追溯到2007年。
关于在用户计算机上检测到的漏洞文件和应用程序,2009年最常见的漏洞为苹果公司的QuickTime 7.x的漏洞,占全部漏洞的70%。这使我们不得不联想到2008年,同样是QuickTime的漏洞居各种漏洞之首,占到全部漏洞的80%。
下表列出了产品中包含漏洞最多的软件开发商。
2008年,上述图表中包含7个软件厂商,今年则减为4个。去年,微软同样以10个漏洞排名第一。这并不足为奇,因为我们现在同样也对Windows平台投以了特别的关注。10个漏洞中的9个都出自Microsoft Office的组件如Word、Excel、Outlook以及PowerPoint等。
而苹果公司所爆出的漏洞则均出自于QuickTime 。
从上述数据,我们可以得出结论,即在漏洞方面,今年同去年基本保持不变。当今的Windows系统下最脆弱、最易爆出漏洞的应用程序依然是Microsoft Office和QuickTime。
此外,Adobe公司出品的软件在漏洞方面也颇为严重,仅次于上述两个软件厂商。Adobe公司产品爆出的4个漏洞均出自于同一个产品,即Adobe Flash Player。其中有两个漏洞是于2009年公布的。遗憾的是,针对Adobe产品的漏洞情况从2008年起就没有改善,事实上情况甚至变得更糟。
2009年最危险的应用程序如下:
- 1. QuickTime
- 2. Microsoft Office
- 3. Adobe Flash Player
下图列出了常见漏洞类别相关数据:
最常见的20种漏洞都属于“远程漏洞”范畴,也就是说,网络罪犯即使没有获取到受害计算机的本地访问权限,也可以利用这些远程漏洞进行攻击。 如果上述任何漏洞被利用,都会对受害计算机造成不良影响或危害。当然,最危险的漏洞是具有“系统访问”权限的漏洞。因为通过利用此类漏洞,网络罪犯可以获取计算机系统的完全控制权。可怕的是,上述最常见的20种漏洞中,有19种都具有潜在的“系统访问”利用问题,其中的5种漏洞还会造成敏感数据泄漏。
2010年3月10日 |
