【51CTO.com 綜合消息】

報告概要：

2009年，互聯(lián)網(wǎng)和普通百姓的生活越來越緊密，無論是購物、休閑、工作都越來越顯現(xiàn)出互聯(lián)網(wǎng)的重要性。而與此同時，互聯(lián)網(wǎng)安全問題也越發(fā)突出。從09年年初央視315晚會對網(wǎng)銀安全問題的報道，到5.19全國斷網(wǎng)事件的發(fā)生以及年末百度被“黑”事件，網(wǎng)絡安全問題已經(jīng)成為一個社會話題。

引發(fā)網(wǎng)絡安全問題的根源就是“經(jīng)濟利益”。木馬產(chǎn)業(yè)鏈、病毒經(jīng)濟都離不開利益。無論是盜號木馬還是修改用戶IE主頁的惡意軟件，這些病毒制作者的目的只有一個——“錢”。近幾年，病毒、木馬所帶來的產(chǎn)業(yè)鏈規(guī)模不斷刷新，到2009年，據(jù)金山安全實驗室反病毒專家預測，2009年，病毒產(chǎn)業(yè)規(guī)模將達到百億。

伴隨著用戶對網(wǎng)絡安全問題的日益關注，黑客、病毒木馬制作者的“生存方式”也在發(fā)生變化。病毒的“發(fā)展”已經(jīng)呈現(xiàn)多元化的趨勢，類似熊貓燒香、灰鴿子等大張旗鼓進行攻擊、售賣的病毒已經(jīng)越來越少，而以貓癬下載器、寶馬下載器、文件夾偽裝者為代表的“隱蔽性”頑固病毒頻繁出現(xiàn)，同時小范圍、針對性的木馬、病毒也已經(jīng)成為新增病毒的主流。

一、2009年中國互聯(lián)網(wǎng)安全情況整體分析

2009年，計算機病毒和木馬處于一個“低調增長期”，雖然一些類似熊貓燒香的重大惡性病毒越來越少見，但一些小范圍、針對性強的新病毒、木馬的數(shù)量依然在飛速增長。據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示，2009年，金山毒霸共截獲新增病毒和木馬20684223個，與2008年相比增加了49%。下圖為近幾年來的新增病毒和木馬數(shù)量對比（圖1）：

在新增病毒中，木馬仍然首當其沖，新增數(shù)量多達15223588個，占所有病毒重量的73.6%。黑客后門和風險程序緊隨其后，這三類病毒構成了黑色產(chǎn)業(yè)鏈的重要部分。而且網(wǎng)站掛馬的現(xiàn)象也顯著增加。從2009年開始，金山網(wǎng)盾對互聯(lián)網(wǎng)網(wǎng)頁掛馬進行全面監(jiān)控。據(jù)不完全統(tǒng)計，全年共檢測到8393781個掛馬網(wǎng)站。此外，欺詐類釣魚網(wǎng)站的數(shù)量也在09年下半年迅猛增長，僅12月，金山網(wǎng)盾共攔截釣魚網(wǎng)站多達1萬多個。下圖是不同類別病毒和木馬比例圖（圖2）：

2009年，根據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示，金山毒霸在09年共攔截病毒8440631705次（約84億次）。全國共有76409010臺（約7600萬臺）計算機感染病毒，與08年的感染量相比增加了13.8%。其中廣東、江蘇、山東三地的病毒感染量位列全國前三位，總感染量占到全國感染量的25%。全國各省的計算機病毒感染量如下表（圖3）：

二、2009年病毒、木馬技術特點的簡單分析

第25次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告顯示，截至2009年12月30日，中國網(wǎng)民規(guī)模達到3.84億人，普及率達到28.9%。網(wǎng)民規(guī)模較2008年底年增長8600萬人。迅速發(fā)展的互聯(lián)網(wǎng)行業(yè)背后，黑色產(chǎn)業(yè)鏈的發(fā)展也日益猖狂。據(jù)金山安全實驗室統(tǒng)計，威脅的數(shù)量增長驚人，達到300%，于此同時2009年黑色鏈也發(fā)生了深刻的變化。

1、瀏覽器首頁劫持產(chǎn)業(yè)鏈形成

隨著政府及安全廠商的圍剿，在2007年到2008年大發(fā)異彩的掛馬集團已經(jīng)日盡余輝。在利益的趨勢下，一支新型黑色產(chǎn)業(yè)鏈逐步形成，它們風險更低，手法更容易實現(xiàn)，已經(jīng)成為互聯(lián)網(wǎng)用戶新型的安全威脅。

最顯著的改變就是瀏覽器首頁劫持產(chǎn)業(yè)鏈在2009年發(fā)展成型。從金山安全實驗室監(jiān)測到的數(shù)據(jù)來看，進入2009 年，由于對掛馬類病毒的打壓，掛馬集團通過掛馬的方式，使網(wǎng)友中毒的幾率越來越小。這就迫使木馬產(chǎn)業(yè)從業(yè)者不得不想盡辦法，開始改變方向:欺騙下載+惡意推廣+劫持瀏覽器入口。

從2009年4月開始，修改主頁、鎖定主頁的病毒增速明顯。到2009年年末，通過掛馬傳播的木馬數(shù)量在整體木馬傳播量中的比例下降到了40%以下。與此同時，修改主頁病毒傳播的比例迅速飆升到50%以上，成為木馬感染網(wǎng)民電腦的主力渠道。

修改主頁、鎖定主頁的病毒增速異常的背后，是木馬集團盈利模式的重大轉變。金山安全實驗室最先披露的以“灰鴿子”為代表的制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢的黑色產(chǎn)業(yè)鏈，發(fā)展到2009年，隨著金山網(wǎng)盾類瀏覽器防護工具的日益成熟，使得網(wǎng)站掛馬成功的概率大大降低。病毒產(chǎn)業(yè)鏈里，通過購買流量實現(xiàn)大范圍的掛馬成本過于高昂（可能中招的幾臺電腦里得到的收益還不夠支付流量費），因此瀏覽器首頁劫持產(chǎn)業(yè)鏈成為盈利主流。據(jù)金山安全實驗室反病毒專家預測， 2009年木馬產(chǎn)業(yè)規(guī)模將超過百億。

2、流量商成為黑色產(chǎn)業(yè)“大佬” 

金山安全實驗室反病毒專家解釋，在瀏覽器首頁劫持產(chǎn)業(yè)鏈條上，病毒制作者并不是最賺錢的，流量商是這個鏈條獲利最大頭。流量商在這個鏈條中處于承上啟下的作用，“就像一個產(chǎn)品，生產(chǎn)廠家的利潤可能最后還沒大賣場多?！?/SPAN>

瀏覽器首頁劫持產(chǎn)業(yè)鏈主要有以下幾點組成：

產(chǎn)業(yè)鏈的三個環(huán)節(jié)

和掛馬產(chǎn)業(yè)鏈相比，該產(chǎn)業(yè)鏈的技術門檻很低，瀏覽器劫持的生產(chǎn)代價非常低，廣告推廣的獲利卻巨大，投入產(chǎn)出比大為提高。

以2009年十大病毒中的廣告木馬(Win32.Troj.Agent.dv.131072)為例，該類木馬挾持百度，搜狗，谷歌等著名網(wǎng)站，指向病毒作者指定的服務器222.189.207.206，從而賺取流量，甚至誘導用戶點擊釣魚網(wǎng)站。

大型網(wǎng)站每天被用戶訪問的概率非常大，因此廣告木馬通過修改hosts文件域名挾持大型網(wǎng)站?？梢钥焖佾@得流量，按照1分錢一個IP來計算，大型網(wǎng)站按每天千萬IP計算，流量商通過出售流量每天就可以獲得十萬的收入。

3、罪惡黑手伸向下載市場 欺詐下載異軍突起  

金山“云安全”中心監(jiān)測數(shù)據(jù)來看，2009年下半年欺詐下載的感染比例超過掛馬，成為2009年的流行趨勢。意味著從2009年，木馬產(chǎn)業(yè)將罪惡之手伸向了下載市場。

欺詐下載的軟件品種廣泛，不僅包括桌面伴侶（快快捷，桌面圖標秀，果果工具條，蘋果工具條等名稱），還有山寨瀏覽器（綠葉瀏覽器，飛游瀏覽器，綠色瀏覽器等）、腳本推廣器（通常使用一些腳本釋放各種快捷方式到用戶電腦，有下載其他軟件的行為）及其他軟件游戲程序，coopen，風行等。

正因為欺詐下載的流行趨勢，各大搜索引擎的關鍵字成為了他們爭奪的對象，而且投放的木馬更有針對性。例如在百度上搜索“地下城與勇士外掛”，前幾個連接大多是有盜號或者惡意的網(wǎng)址，最多的時候前20個搜索結果中有11個是惡意網(wǎng)址，并且排名都靠前。

另外一種欺詐是在下載站點中有大量的連接，其中真正的連接很難找到，而大部分連接是欺詐型連接。

此類欺詐下載，多偽裝欺騙式鏈接來賺取廣告聯(lián)盟廣告費。更為惡劣的還有捆綁流氓軟件，用戶誤操作之后，瀏覽器主頁可能被篡改，各類盜號、流量劫持，強彈廣告、遠控木馬等后果將隨之發(fā)生。

欺詐下載的傳播流程：

欺詐下載軟件的特點（大-中-小每層的傳播都各有特點）：

1）實力派（有后臺，資金充裕，通常以廣告的方式推出）－－大型軟件下載網(wǎng)站廣告推廣。比如go2000 在華軍 天空之類推廣的桌面伴侶流氓軟件。

2）演技派（找出真的下載地址需要絕大的毅力和運氣）－－中小型下載網(wǎng)站誘導。 比如導航站te99.com的欺詐,通常是以大大的下載圖標誘導用戶。

3）偶像派（沒有真的，全是假的）－－偽下載站推廣。比如修改主頁為a1個人導航的推廣，提供該類下載的網(wǎng)站本身不提供任何有價值的下載，下載的流氓軟件通常更加惡意，甚至包含盜號木馬。

4、釣魚網(wǎng)站大量出現(xiàn)

2009年出現(xiàn)的釣魚欺詐網(wǎng)站非常多，比如有的假冒央視“非常6+1”欄目的官方網(wǎng)站，然后通過手機短信或飛信進行大范圍傳播。不法分子首先盜用他人的“飛信”賬號，然后向其好友發(fā)送大量的詐騙信息，謊稱用戶獲得高額獎金或獎品。從而誘騙用戶訪問虛假的釣魚網(wǎng)站，并通過要求用戶輸入驗證碼、提供咨詢電話、提供公證書查詢等手段使得騙局更具迷惑性。用戶如果訪問了這些釣魚網(wǎng)站，并按照網(wǎng)站提示填寫真實信息，則會導致敏感信息的丟失甚至蒙受經(jīng)濟損失。

#p#

三、2010年病毒和木馬技術發(fā)展趨勢預測

1、0Day漏洞層出不窮

0Day漏洞仍然是黑客入侵的主要方式，新年伊始谷歌被入侵事件就證明了這一點。由于0Day漏洞和安全補丁的推出，這兩者之間在時間上有一段空白期。所以黑客可以利用這段時間，大規(guī)模的入侵計算機用戶的電腦系統(tǒng)，從中獲取大量有價值的信息內(nèi)容。正是由于0Day漏洞的巨大威力，以及可以從中獲取大量的經(jīng)濟利益，因此黑客必然會更加挖掘系統(tǒng)和軟件中的0Day漏洞，尤其是像Windows 7操作系統(tǒng)等可能存在的漏洞。

2、網(wǎng)頁掛馬、釣魚網(wǎng)站將繼續(xù)增加

網(wǎng)頁掛馬已經(jīng)成為木馬、病毒傳播的主要途徑之一。由于各種系統(tǒng)漏洞和軟件漏洞的存在，因此通過掛馬進行入侵的數(shù)量會繼續(xù)增加。黑客在入侵網(wǎng)站系統(tǒng)以后，通過篡改網(wǎng)站網(wǎng)頁或數(shù)據(jù)庫的內(nèi)容，就可以植入各種各樣的下載腳本代碼。用戶只要瀏覽被植入木馬的網(wǎng)站，如果系統(tǒng)存在漏洞就會遭遇木馬入侵，從而造成個人信息和網(wǎng)絡財富的損失。不過現(xiàn)在金山毒霸已經(jīng)開發(fā)出，一款免費專業(yè)的瀏覽器保護工具——金山網(wǎng)盾。計算機用戶可以通過下載安裝“金山網(wǎng)盾”，避免自己的系統(tǒng)受到網(wǎng)頁木馬的攻擊和入侵。

3、木馬捆綁東山再起

隨著網(wǎng)絡用戶對網(wǎng)頁掛馬認識的提高，造成通過網(wǎng)頁掛馬入侵的可能有所降低。但是與此相反的是通過傳統(tǒng)的文件捆綁，進行入侵的事件則成明顯上升的趨勢。黑客通過將木馬病毒，和圖片、FLASH動畫、文本文件等進行捆綁。然后再配以迷惑性的文件圖標，這樣用戶稍不注意就可能上當受騙。而且現(xiàn)在最新版本的捆綁軟件，不僅可以完成木馬病毒的捆綁，有的還可以增加文件屬性等虛假信息，而且更加增加了用戶進行識別的難度。

4、無線攻擊快速增加

隨著3G時代的來到，智能手機、上網(wǎng)本、無線路由器等無線接入設備，開始成為黑客攻擊的全新目標?，F(xiàn)在網(wǎng)絡中已經(jīng)出現(xiàn)大量無線破解的技術，輕則可以讓攻擊者免費的蹭網(wǎng)，重則可以通過ARP攻擊植入木馬竊取信息。除此以外，利用手機短信或者移動飛信，進行詐騙的事件也會越來越多。

#p#

四、2009互聯(lián)網(wǎng)安全事件TOP10

2009年，所有的網(wǎng)絡安全事件起因差不多都可以在互聯(lián)網(wǎng)本身找到源頭。如果沒有互聯(lián)網(wǎng)，我們可能從不會認識什么叫網(wǎng)絡釣魚、什么是IE 0day漏洞。那么，就讓我們回顧一下即將過去的2009年都發(fā)生了哪些令人恐懼或者印象深刻的互聯(lián)網(wǎng)安全事件，并由此帶來的對互聯(lián)網(wǎng)安全的反思。

NO.1 百度被“黑”

上榜指數(shù)：★★★★★

上榜理由：

2010年1月12日，中國的2009農(nóng)歷年還沒有過，上午6點左右起，全球最大中文搜索引擎百度突然出現(xiàn)大規(guī)模無法訪問，主要表現(xiàn)為跳轉到一雅虎出錯頁面、伊朗網(wǎng)軍圖片等，范圍涉及四川、福建、江蘇、吉林、浙江、北京、廣東等國內(nèi)絕大部分省市。這次百度大面積故障長達5個小時，也是百度2006年9月來最大一次嚴重斷網(wǎng)事故，在國內(nèi)外互聯(lián)網(wǎng)界造成了重大影響，被百度CEO李彥宏稱為“史無前例”的安全災難。

金山毒霸安全專家李鐵軍表示，“DNS劫持是安全界常見的一個名詞，劫持了DNS服務器，意思是通過某些手段取得某域名的解析記錄控制權，進而修改此域名的解析結果，導致對該域名的訪問由原IP地址轉入到修改后的指定IP，其結果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址，從而實現(xiàn)竊取資料或者破壞原有正常服務的目的?！?

金山毒霸反病毒專家李鐵軍介紹，大型網(wǎng)站每天被用戶訪問的概率非常大，因此廣告木馬通過修改hosts文件域名挾持大型網(wǎng)站。一方面可以快速獲得流量，并且由于用戶的思維慣性會放松對相應頁面的防范意識導致上當受騙。（在用戶看來他訪問的是百度，但是實際上不是）

金山毒霸安全專家表示，黑客入侵大型網(wǎng)站本身越來越難，因此通過劫持DNS“黑”大型網(wǎng)站會越來越流行。

NO.2 微軟再爆IE極光0DAY漏洞

上榜指數(shù)：★★★★☆

上榜理由：

1月18日，微軟向所有VIA伙伴通報最新IE 0Day漏洞。作為國內(nèi)唯一的微軟VIA聯(lián)盟的成員，國內(nèi)知名互聯(lián)網(wǎng)安全公司北京金山安全軟件有限公司已得到了該漏洞一些信息，該漏洞對操作系統(tǒng)和瀏覽器的影響范圍較大，跨越了Windows 2000/Windows XP SP2/SP3，Windows Vista, Windows 7等大部分windows系統(tǒng)，同時影響目前主流的IE6/IE7/IE8瀏覽器，此外一些第三方IE瀏覽器也很有可能受到影響自該漏洞被黑客公布以后，金山網(wǎng)盾攔截利用該漏洞的木馬攻擊次數(shù)以每天36.3%的速度增長，日攔截攻擊行為428144次，共攔截數(shù)百萬次通過IE極光0day漏洞進行的攻擊。

李鐵軍表示，由于目前IE極光0day漏洞主要利用色情網(wǎng)站進行掛馬，此類網(wǎng)站日流量通常以百萬計算，而該漏洞主要針對IE瀏覽器（該瀏覽器市場占有率50.8%），實際潛在受影響用戶保守估計應在千萬級。為了在微軟未發(fā)布漏洞補丁之前，將用戶的損失降到最低，金山安全實驗室第一時間推出金山網(wǎng)盾IE極光0day漏洞專防工具，幫助非金山毒霸、金山網(wǎng)盾用戶解決燃眉之急。

NO.3  5.19全國斷網(wǎng)事件

上榜指數(shù)：★★★★☆

上榜理由：

2009年5月19日，中國十多個省市數(shù)以億計的網(wǎng)民遭遇了罕見的“網(wǎng)絡塞車”，這是繼2006年臺灣地震造成海底通信光纜發(fā)生中斷之后，中國發(fā)生的又一起罕見的互聯(lián)網(wǎng)網(wǎng)絡大癱瘓，大多數(shù)網(wǎng)民的上網(wǎng)質量都受到了影響。

據(jù)報道，事故當天，由于暴風影音網(wǎng)站域名解析系統(tǒng)遭受黑客攻擊，導致電信DNS服務器訪問量突增，網(wǎng)絡處理性能下降，全國十多各省市數(shù)以億計的網(wǎng)民遭遇了罕見的網(wǎng)絡塞車，一時間形成大規(guī)模網(wǎng)絡癱瘓。這次“暴風斷網(wǎng)門”事件，讓網(wǎng)絡黑客與我國信息安全產(chǎn)業(yè)再次對壘，將網(wǎng)絡共享軟件普遍存在的留“后門”短板問題推至風口。

NO.4工信部推行綠壩軟件引發(fā)爭議

上榜指數(shù)：★★★★☆

上榜理由：

2009年6月，工信部日前發(fā)出了《關于計算機預裝綠色上網(wǎng)過濾軟件的通知》，規(guī)定自7月1日以后，在我國境內(nèi)生產(chǎn)銷售的計算機以及進口計算機必須預裝一款名為“綠壩-花季護航”的綠色上網(wǎng)過濾軟件。消息一出，引發(fā)社會廣泛關注，引起網(wǎng)民熱烈爭議，而且質疑聲較多。誠然，此舉的目的在于保持潔凈網(wǎng)絡環(huán)境、保護未成年人利益，出發(fā)點是好的，但老百姓對這種做法也存在爭議。

NO.5 央視3。15晚會曝光網(wǎng)銀詐騙

上榜指數(shù)：★★★☆☆

上榜理由：

3月15日，央視315晚會曝光一名叫“頂狐”的黑客，通過自己制造木馬程序，盜取大量用戶的網(wǎng)上銀行信息，用很低廉的價格在網(wǎng)上出售，危及大量網(wǎng)銀用戶的安全。

央視315晚會報道，“頂狐”通過木馬程序，盜取個人的網(wǎng)銀信息，后對盜取回來的信息分類整理，將密碼等信息廉價出售，而網(wǎng)上銀行用戶信息則以400元每G的價格打包售出。這導致大量的網(wǎng)銀用戶存款被盜。

據(jù)悉，淪為“肉雞”的電腦，除了央視315晚會曝光的網(wǎng)銀帳號受到威脅外，黑客還可以輕易獲得用戶的炒股帳號、網(wǎng)游帳號密碼等信息。此外，遠程控制用戶的攝像頭，曝光隱私；竊取“肉雞”電腦里的虛擬財產(chǎn)以及商業(yè)機密。李鐵軍表示，“肉雞已經(jīng)成為黑客牟利的工具”。

為了維護整個互聯(lián)網(wǎng)安全環(huán)境，讓廣大網(wǎng)民擺脫“肉雞”威脅，金山毒霸緊急研發(fā)了完全免費的“肉雞檢測器”，全面剿殺肉雞。金山毒霸肉雞檢測器采用金山毒霸先進的可信認證及威脅判斷技術，準確鑒定文件安全性。多達156項病毒加載項的檢測，已經(jīng)覆蓋病毒所有已經(jīng)采用的加載技術，全面檢測不遺漏；獨有的Anti-rootkit技術深入系統(tǒng)底層，縱使采用了“隱身術”的后門或遠程控制程序，也都在“肉雞檢測器”下乖乖現(xiàn)身。

NO.6 山寨版殺毒軟件橫行

上榜指數(shù)：★★★☆☆

上榜理由：

活躍在2009年互聯(lián)網(wǎng)安全行業(yè)里，除了正統(tǒng)出身的金山毒霸等殺毒軟件之外，也有一些不知名、又并非拿到公安銷售許可證的“山寨”版殺毒軟件，如“綠傘”、“驅逐艦”，也就是說在公安部計算機病毒防治產(chǎn)品檢驗中心2008年防病毒產(chǎn)品檢驗結果名單中，找不到這些殺毒產(chǎn)品的身影。而同時，這些“山寨版”殺毒軟件多是打著價格便宜，功能強大豐富之類的推廣噱頭，通過在線上各個論壇推廣，甚至會采取獲利極快的傳銷形式作為銷售平臺，來獲得可觀的商業(yè)利益。

“山寨”版殺毒軟件，不同于其他山寨手機等產(chǎn)品。除了用戶需要忍受哇哇叫的刺耳鈴聲，最起碼在通訊及其他娛樂商務功能上，山寨手機都可以滿足用戶需求，不會在產(chǎn)品功效上嚴重侵犯消費者權益。而山寨殺軟的威脅之處在于，消費者花費了同樣的價錢，卻得不到相同價值的產(chǎn)品質量保障。

在互聯(lián)網(wǎng)安全行業(yè)，并非任何想加入的山寨產(chǎn)品都可輕易走進來。要進入互聯(lián)網(wǎng)安全行業(yè)也需要有準入門檻，一款殺毒產(chǎn)品必須經(jīng)過公安部嚴格的檢測，然后申請到黃標才能在市場上公開銷售。對于選擇使用殺毒軟件的用戶而言，金山軟件反病毒專家建議，在選擇殺毒產(chǎn)品時，可通過檢查產(chǎn)品是否貼有公安部門發(fā)放的黃色標（即準銷許可）辨別產(chǎn)品的山寨與否。如果有用戶不小心購買到?jīng)]有黃標（準銷許可）的山寨殺軟，也可以向消費者權益協(xié)會或者國家反病毒中心聯(lián)系維護自己的消費者合法權益。