危机重重 2007年度网络安全分析报告

　　为什么这么评论?今年挟新技术而来的病毒不再畏惧与杀毒软件正面搏杀，禁用杀毒软件是家常便饭;号称最安全的密保卡也在今年被木马破解了，盗号现象疯狂可见一斑;常用软件漏洞频发，用户应接不暇;流氓软件借助恶意网站秘密传播;今年一些杀毒软件就出现多次严重误报误杀事件……

　　在这个危机四伏的时期，互联网的安全又该何去何从?

　　年度黑榜总结：四面楚歌的网络安全局势

　　十大恶意行为排行榜

　　今年的电脑用户特别的郁闷，除了会碰到挂马的网页外，还不得不面对杀毒软件被劫持的现实，杀毒软件连自己都保护不了，又怎么保护我们的电脑呢?

　　恶意行为排行榜

　　从该表中可以看出，广大读者对网页挂马、终止杀毒软件、恶意下载站等行为尤为憎恶，这与逐年倍增的恶意网页不无关系，今年出现的大批挂羊头卖狗肉的下载网站着实让人愤怒，满心欢喜下载来的却是一大堆病毒、木马、恶意插件，可恶至极!

　　根据黑榜从搜索引擎随即抽样的30个下载网站调查发现，居然有21家属于恶意下载站，照此发展下去，整个下载行业的信誉都要面临严峻挑战。另外，经过去年声势浩大的多场反流氓战役，传统的流氓软件已经偃旗息鼓，在网民的围追堵截下不再活跃，继而转入地下成为今年无比猖狂的恶意网站生力军。

　　独家观点1：密保卡不安全，盗号将会升级

　　盗号木马是伴随网络游戏的兴起发展壮大的，也是令游戏厂商、运营商、玩家、安全厂商颇为头疼的问题。在今年，一些网游的密保卡被木马成功破解了，如前期流行的酷狮子等。这种木马在今年还不是很多，在整个木马份额中比重不大，但是随着技术的流传，越来越多的木马能破解密保卡，盗号现象也会升级，整个游戏产业都将面临严峻考验。

　　十大恶意病毒排行榜

　　今年的恶意攻击可以说是史上最强的，从年初的熊猫烧香，到年中的AV终结者，再到年末的酷狮子、机器狗，无数攻击肆虐蹂躏用户的电脑，重要资料不能修复，网游账户被盗……

　　酷狮子木马堪称今年网游盗号的典型，一向号称最安全的密保卡也被它绕过了，害人无数，上榜在意料之中。此外，号称斩不尽杀不绝的U盘寄生虫、臭名昭著的灰鸽子都再次上榜;年末突袭网吧的机器狗也被读者评选上榜了。

　　局域网死神——ARP地址欺骗病毒

　　危害指数：★★★★★

　　独门绝技：伪装成网关，散布虚假ARP数据包。

　　中毒症状：局域网内部分或所有计算机不能正常上网

　　ARP病毒

　　ARP地址欺骗病毒简称ARP病毒，它并不是特指某一种病毒，而是指所有包含有ARP欺骗功能的病毒总称，曾造成国内数千所高校、企业网络瘫痪，破坏力极强。

　　当局域内的某台计算机感染ARP病毒后将自身伪装成网关，并持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包阻塞网络通道，造成网络设备的严重超载，导致网络网速时断时续极其不稳定，网页打开缓慢或无法打开。因此ARP病毒也被称作局域网死神。

　　编辑点评：ARP病毒在很多局域网内大规模暴发，企业和学校的局域网是重灾区。随着网管和用户对该病毒的防范能力的提高(例如绑定MAC地址)，预计明年大规模播放和传播的机率将大大减少。

　　杀毒软件克星——AV终结者

　　危害指数：★★★★★

　　独门绝技：终止安全软件、破坏安全模式、通过闪存盘传播。

　　中毒症状：中毒后会发现几乎所有杀毒软件、反间谍软件不能正常启动。

　　AV终结者病毒

　　6月爆发的AV终结者病毒相信令不少用户至今仍心有余悸，众多知名杀毒软件、安全工具瞬间被“秒杀”，实时监控进程被终止、杀毒软件无法运行、点击杀毒软件时却触发了病毒造成二次感染、无法进入安全模式……

　　一时间，整个安全界如临大敌，杀毒软件被破坏后系统失去了最后的安全防护，各种病毒、木马纷纷在电脑中安营扎寨,重装系统也无济于事。

　　危害指数：★★★★★

　　独门绝技：终止安全软件、删除.gho备份文件、感染.exe文件。

　　中毒症状：感染.的.exe文件图标变成“熊猫烧香”图案。

　　熊猫烧香

　　熊猫烧香——这个横跨年度的恶性病毒可谓是家喻户晓，大闹互联网半年有余，以势如破竹的速度迅速在全国蔓延开来，上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注，各大反病毒厂商更是将它作为头号监控对象联合围剿。

　　其影响力已经远远超过了病毒本身，众多网友为其鸣诗作赋，如“两岸烧香停不住，病毒已染万重山”、“熊猫烧不尽,关机开又生”、“熊猫逊雪三分白，雪却输猫一炷香”，形象的比喻出病毒发作的特性。

　　编辑点评：我们经历了无数险恶病毒，却从遇到过像熊猫烧香这样受害网民为其作诗造词数百首，绘声绘色的描述一个病毒的。熊猫过后，一个个外善内恶的金猪、猩猩纷纷下线，今年，病毒也有了品牌意识，打起了LOGO。

　　偷梁换柱——酷狮子木马

　　危害指数：★★★★★

　　独门绝技：破解密保卡

　　酷狮子木马

　　今年9月，某反病毒厂商接到用户投诉，反映杀毒软件将网络游戏客户端当作木马误杀，经过分析发现这居然是一个完全模仿网游客户端图标的木马程序，它就是大名鼎鼎的酷狮子木马。

　　该木马入侵系统后将会查找目标网游的安装目录将自身直接替换为游戏客户端，当木马运行时会让玩家频繁掉线，并记录每次进入游戏时输入的密码，当达到一定次数后即可成功复制一张“密保卡”，盗取游戏的账号了。

　　编辑点评：该木马作者制作的网站也被发现，居然打着“专业定做 品质保证”的招牌公开承揽木马定制生意，并且还留下个联系QQ号码，气焰极为嚣张。这类木马今后在网上会越来越多地被贩卖。

　　穿透硬盘还原卡——机器狗木马

　　危害指数：★★★★

　　独门绝技：破解还原卡

　　机器狗

　　就在近期，全国各地网吧相继出现奇怪现象，一种可轻易穿透硬盘还原卡和各类系统还原软件的木马程序在网吧肆虐，系统目录中出现小狗图标。原来电脑重启后都会自动还原，可现在自动还原后木马居然还在，电脑运行速度极为缓慢，甚至突然蓝屏罢工。

　　经过分析发现，这些网吧都是中了名为“机器狗”的新型木马，此木马进入系统后释放相关驱动程序，并自动接管硬盘保护卡或系统还原软件对硬盘的读写操作，使此类硬盘保护措施彻底失效。

　　●漏洞利用技术层出不断

　　今年利用微软“0Day漏洞”进行传播的病毒频繁出现(“0Day漏洞”是软件厂商未发现或未发布修补补丁的漏洞)。以“ANI漏洞”的出现为例，利用微软漏洞进行传播，对包括Vista在内的Windows 所有用户造成严重威胁，成为首个利用“0Day漏洞”传播，造成了大面积感染的的病毒。

　　而微软Office软件漏洞更是成群出现，有权威统计数据显示在即将过去的2007年，微软软件的漏洞数量同比去年增长了近300%，且主要集中在Excel和Word中。此外，众多知名常用软件也在今年连接被暴高危漏洞，一场“漏洞门”正在整个软件行业上演。

　　●ARP欺骗技术肆虐局域网

　　局域网在2007年大受各类网络蠕虫的欢迎，杀手锏便是今年出镜率极高的ARP欺骗技术。其实局域网中的MAC地址欺骗机制早已存在，但此前一直未引起安全机构的重视。因此ARP欺骗病毒一经爆发便立刻导致全网中毒，病毒数据侵占网络带宽，网络通信阻塞、直至崩溃的严重后果，在病毒爆发的高峰期只能采取大面积断网隔离的妥协处理措施。

　　而反复中毒、反复隔离的现象在那段时期更是屡见不鲜。例如，清华大学校园网在4、5月期间遭到大规模ARP欺骗病毒攻击，出现网络不稳定、网速下降严重等情况，不多久病毒开始在整个校园横行，超过万台计算机受到影响，网络中心不得不成批封闭网络端口，数百个宿舍网络被切断隔离，给同学生活和学习、教师办公都带来了很大影响。

　　●映像劫持技术反狙击杀毒软件

　　今年的病毒有一个非常的显著特征——将矛头对准了老冤家杀毒软件。看到精心炮制的病毒还未出门便被杀毒软件斩首示众，病毒作者终于坐不住了，一大批专门对付杀毒软件的恶性病毒纷纷出笼，尽管名称各不相同，但核心技术便是大名鼎鼎的IFEO映像劫持。

　　病毒窜改注册表中的Image File Execution Options项后将包括杀毒软件、防火墙、反流氓等众多安全工具重新定向，使得这些安全软件全都无法运行，甚至把杀毒软件替换成病毒文件，大耍“狸猫换太子”的伎俩。

　　失去了杀毒软件的保护，系统已彻底敞开了大门，尾随而至的大群恶性蠕虫、盗号木马、流氓插件欢天喜地的在电脑中安营寨扎，系统被蛀的千疮百孔，它们再也不必看杀毒软件的脸色行事了，广告窗口疯狂弹出、QQ尾巴肆意发送、网游账号被洗劫一空……

　　●病毒也玩Rootkits技术

　　自从流氓软件落得过街老鼠人人喊打的境地后，偷偷练成了惊世邪功——内核驱动级Rootkits(Rootkits最早是一组应用于UNIX系统的黑客工具集，使用它们可隐藏入侵活动的痕迹)，且多次成功逃脱安全软件的检测，屡试不爽。如今，众多病毒也采用此术大大提升自身抵抗力，可谓刀枪不入。

　　内核驱动级Rootkits可隐藏自身进程及动作、嵌入操作系统内核、劫持系统文件调用过程，获得对系统底层的完全控制权，犹如穿了防弹衣一样使得检测、清除这些代码成为当今反病毒界的公认难题。尽管其危害有目共睹，但遗憾的是目前尚没有绝对的防御体系，全球甚至没有一家反病毒厂商能够处理所有的内核驱动级Rootkits，因为解决一个新出现的Rootkits需要耗费大量时间。

　　●病毒将会越来越复合化、个性化

　　一个显著的趋势是今后病毒制作技术将越加向集成符合化、个性化发展。遥想三、四年前的冲击波、震荡波还在用单一的漏洞攻击方式。

　　如今的熊猫烧香、大红猩猩、徐明病毒已采取多种技术手段、多途径快速传播的闪电战术，集成了关闭杀毒软件、IEFO劫持、破坏安全模式等多种功能，如徐明病毒更可窜改文件夹选项，将显示隐藏文件改为“徐明来过，不能显示隐藏文件”，再如熊猫烧香、小猪、小浩、大红猩猩都各自使用特定图标，凸显出病毒制作的个性化。

　　今年ARP病毒之所以这么流行，与恶意网站的推波助澜有密切的关系。一旦登录了这样的网站，就会害己又害别人。许多读者都反映局域网上网很慢或者根本就上不了网。此外，各种恶意下载网站继续用病毒欺骗读者，大家千万不要到陌生的且小网站去下载。

　　2007年十大恶意网站排行

　　可以看出，携带ARP病毒的恶意网站群毫无质疑的登上了榜单首要位置，这点从病毒排行榜中ARP病毒独占鳌头互相印证，特别是7y7.us更是以超过百万的感染数量力压群雄。而贯穿全年的色情网站群也以多种令人作呕的恶意手段夺得榜中三个席位，此外，臭名昭著的恶意下载站也以其极度无耻的病毒集装箱受到全国网民讨伐上榜，可谓罪有应得。

　　榜单解读

　　最具影响力的恶意网站群——7y7.us

　　危害指数：★★★★★

　　7y7.us

　　要说今年最知名的恶意网站，当数以7y7.us为代表的.us恶意网站集群，这个恶意网站集群将服务器藏匿在境外的犯罪团伙在今年四、五月期间利用ARP病毒疯狂作案，频繁变换IP、域名展开大规模滋扰活动，持续时间长达2个月。

　　给当时深受ARP病毒困扰的国内网络火上浇油，累计造成数百万台计算机感染，从此站截获的各类病毒、变种、盗号木马、恶意程序多达上百个，一举包揽了上半年度10大恶意网站前6席，当之无愧成为2007年最具影响力的恶意网站。

　　编辑点评：今年出现了大批携有ARP欺骗病毒的恶意网站，导致局域网瘫痪打开任何网页都带毒的情况，局域网用户短时间内连遭持续打击，ARP病毒能在今年如此流行与这些恶意网站煽风点火大肆传播不无关系。

　　最顽固的色情网站群——www.zzzz1.com

　　危害指数：★★★★☆

　　从年初到年末一直有个论坛式的色情网站群充斥在网络中，经过黑榜多次曝光屏蔽，其愈加频繁的更换域名、多方转移服务器地址，并备有几十个临时转向域名。尽管名称不同，但界面、内容却无一例外的充斥着大量不堪入目的色情淫秽电影、照片及文字，且全站每个页面都嵌有七八个恶性病毒和盗号木马。

　　这些病毒均采取多重加壳、频繁更新变种方式做到免杀，具体表现为锁定浏览器、弹出色情广告、盗取网游账号，长达一年的时间里广大网民深受其困扰，仅针对此色情网站群的举报邮件就达数千封，2007年最顽固色情网站非此莫属。

　　编辑点评：在全国严厉打击色情淫秽网站净化网络环境的行动下，这伙犯罪分子却顶风作案，利用色情内容吸引麻痹网民，继而乘浏览者疏于防备下手偷盗虚拟财产，行为极其恶劣。大家上网还要洁身自好，这样才不会招惹病毒大军。

　　最恶毒的恶意下载站——www.17xzb.com

　　危害指数：★★★★

　　www.17xzb.com

　　在所有类型的恶意网站中最无耻、最令网民抓狂的应该就是恶意下载站了，费时费力下载到的软件居然是病毒，满心欢喜的运行安装却没想到系统被破坏的千疮百孔……从去年末开始恶意下载站逐渐增多，到了今年呈高速爆发态势，仿佛是一夜之间徒增了数千个下载网站。

　　此类恶意网站表面上与正常网站并无异样，但下载链接指向的却是病毒、木马、恶意程序，如www.17xzb.com和www.qqtx.cn就是后半年网民反映较多的两个恶意下载站，全站所有软件的下载地址其实都是同一款病毒集装箱，经黑榜曝光后仍不思悔改继续着骗人的勾当，给予2007年最无耻恶意下载站称号一点也不过分。

　　编辑点评：恶意下载站的问题已经愈发严重，成为又一个病毒传播的重要源头，对其治理不仅仅是安全厂商的事，更需要公安网监、域名管理机构、电信运营商的通力配合，从根源上刹住这股歪风，规范整个下载行业的风气。

　　最无耻的欺诈网站——www.kshou.com

　　危害指数：★★★☆

　　www.kshou.com

　　年末出现了一类新型的欺诈网站，与以往欺骗手机话费的短信彩铃站不同的是，骗子们将目光又盯上了喜欢破解他人QQ密码的好奇网友。号称自己网站上的软件集QQ密码暴力破解、QQ远程监控、QQ强制视屏、强制死机等诸多强大功能于一体，但是在使用前必须为其网站宣传30个IP才能获得注册码。

　　如此令人激动的功能令众多好奇网友在各大论坛、网站、QQ群中大力推广，结果费劲力气也没得到所谓的注册码，回头一想原来是一场骗局，骗子利用网民的免费宣传骗取了每日上万的网站流量和数额不菲的广告费用。

　　编辑点评：这种极度无耻的行为令人发指，不仅引诱教唆他人偷盗QQ号码，而且实施二次欺诈，因此将它作为本年度最无耻欺诈网站。当然这与网民自身猎奇心理过强，防范心理过弱也不无关系。

　　独家观点3：恶意网站在奥运前大肆行凶

　　今年电脑用户上网不安全的主要因素又多了一个，那就是常用软件漏洞。如果更新不及时，就会被黑客攻击，称为黑客手中的肉鸡，所有资料或各种账户都会被盗。

　　迅雷以极高的装机率成为下载软件的排行老大，乃必备软件，拥有上千万用户，但今年以来包括迅雷5、Web迅雷都多次暴出高危漏洞，并为部分恶意网站利用实施攻击，造成大范围影响，先后登上2007年度十大常用软件漏洞一、二名位置。

　　而以全能格式兼容的暴风影音也同样是同类软件中的佼佼者，但由于其版本更新过快不免被暴出安全漏洞，且受众面较广，严重程度成为仅次于迅雷系列的通用软件。而老牌Realplayer、网际快车都不约而同的相继出现安全Bug依次登榜。

　　独家观点4：黑客重攻常用软件漏洞

　　当2003、2004年冲击波、震荡波病毒先后造成全球上千万台服务器和个人电脑宕机的严重事件之后，整个互联网的神经都被深深触动，经历了惨痛的教训之后人们终于认识到系统补丁的重要性，并已开始习惯及时安装系统补丁程序修补漏洞。同时许多安全软件都集成了系统漏洞修补功能，使得利用系统漏洞或IE浏览器漏洞实施攻击的可能性相对减少。

　　黑客很快发现了个现象，那就是很多用户都没有升级常用软件的习惯，经常都是安装的是什么版本就一直用到底。所以今年以来，各种常用软件漏洞频繁发作，你方唱吧我登场，好不热闹。

　　病毒数量逐年递增，各种险恶手段轮番上阵，杀毒软件能否再保护电脑?质疑声此起彼伏，甚至有分析师直言“在不久的将来，杀毒软件杀毒软件将会死去，变得无用”，他们认为在安全威胁形式由传统病毒转向由复合型恶意软件主宰的情况下，过去采用特征码来识别病毒的杀毒软件，已无法有效率处理每天新增成百上千的恶意软件。

　　的确，纵贯2007年市场流行的反病毒软件，几乎都是以传统病毒库为核心，在面对今年接连爆发的熊猫烧香、AV终结者、小浩病毒时被轻易劫持、终止进程，未能及时有效的保护系统，完全处于被动挨打的境地。

　　痛定思痛，整个安全界都在沉思，如何改变当前这种不利局面，在与病毒和恶意程序的竞赛中跑在前面?经过反复实验测试，智能主动防御、网络可信认证、账号保护、灾难恢复等一批星光闪耀的新型反病毒技术研发成功，并在2008版杀毒软件中普遍应用。

　　其中最引人注目的当属呼声很高的智能主动防御，在尽量减少用户干预的情况下做到了最高效能，充分利用了病毒虽多变但始终不脱离其恶意行为的这一重要特征，使杀毒软件变被动为主动，大副提升了防御未知病毒的能力。这一技术的成熟应用是对高唱杀毒软件无用论的有力反击。

　　尽管如此，还是有网络游戏玩家担心，万一未知的病毒和盗号木马饶过主动防御还是侵入了系统，游戏账号岂不照样被盗。随着网络游戏用户的快速增长，盗号木马也突飞猛进般的涌现出来。

　　我们注意到，安全厂商为解决这一被网游玩家称为“网游癌症”的盗号问题，纷纷在新版杀毒软件中集成了类似保险柜形式的账号保护技术，自动接管游戏客户端密码输入框，整个数据传输过程采用双向1024位加密，确保数据不被窃听解密，彻底斩断了伸向游戏玩家的盗号黑手。

　　而理念异常先进的网络可信认证、灾难恢复技术则使杀毒软件全面转型成为多重立体防御的安全堡垒。相信在与病毒的不懈斗争中，更多先进有效的防毒技术会逐一涌现出来，而那种认为杀毒软件已死的言论无疑是杞人忧天罢了。

　　黑榜年度统计

　　1.曝光总数

　　黑榜在一年的时间里，共收到78364封读者来信(截至12月3日)，其中有效举报信67371封。全年(截至12月3日)共收录屏蔽恶意网站链接545个，其中上半年108个，下半年437个。

　　上下半年之所以会出现如此大的差距，主要源于下半年恶意网站数量急剧增加，经过半年的宣传后黑榜的知名度进一步提升，特别是HOSTS反黑文件发布后，激发了读者举报的积极性。其次，我们采用了新的分析判断机制，对恶意网站的鉴别速度加快不少，这都使下半年黑榜在量与质上都有了大幅提高。

　　2.曝光成效分析

　　全年的曝光屏蔽效果如何，是否达到了预期目标?经过数天的详细回访调查，统计数据如下：

　　在全年曝光的545个恶意网站链接中，曝光后自行关闭或被相关部门查处关闭的达到213家，占总数的39%;自行整改、纠正恶意行为或去除恶意链接的有148家，比例占到27%;剩余占34%的184家恶意网站为被曝光后恶行依旧，或变本加厉的继续危害网络。

　　我们欣喜的看到，黑榜全年的曝光/屏蔽工作取得了令人瞩目的成果，在治理难度不断加大的情况下，仍超过66%的恶意网站链接得到抑制，为净化网络环境做出了应有的贡献。

　　黑榜明年网络威胁预测

　　明年的病毒、木马和恶意网站将如何发展，有无恶性病毒全面爆发的可能?黑榜对明年网络威胁总体趋势做出概括性预测，预计明年2月春节期间病毒、木马数量将会有所突增，4、5月间通常为为上下半年病毒分水岭，这里也会有一个高发可能，出现一些新型病毒或木马程序。

　　7、8、9三个月受2008年奥运会的影响，极有可能出现大规模病毒爆发或群体性黑客攻击事件，特别要注意防范来自国外的电子邮件病毒和以奥运比赛为诱饵的钓鱼欺诈网站，同时不排除奥运期间利用3G网络快速传播的手机病毒。