恶意网站成倍增长 病毒疯狂盗号——2008黑榜上半年分析
网络安全
4000多小时的不懈追踪、百万读者的共同参与,一份披露中国恶意网站发展的权威分析报告诞生了。
去年我们还在为恶意网站会层出不穷而担忧,过了6个月,这种担忧变成了现实,2008年上半年HOSTS反黑文件收录的恶意网站数目约是去年下半年的4倍,爆炸式增长的恶意网站以传播盗号病毒为主,造成病毒的大面积传播,严重影响了网络的安全。
今年以来,借助恶意网站传播的病毒非常多,更新换代非常快,每更新一次,相关的恶意网站成百上千的涌现,这些恶意网站中大多数都是没有内容只有病毒的垃圾网站,黑客往往一次就能造出数百个相似的网站。
此外,常用软件漏洞利用的速度也比去年加快,例如 Flash Player播放器被爆溢出漏洞后不久,互联网上就出现了利用该漏洞实施攻击的恶意网站,一周时间就有多达190万台电脑被感染,且感染数量保持高速增长。截至6月30日,黑榜已截获超过200个利用此漏洞攻击的恶意网站。而据国内某安全厂商的调查显示,目前仍有约47%的用户没有升级Flash Player到最新版本,受感染的风险极高。
上半年黑榜总结:病毒盗号恶意网站成最大帮凶
独家编辑观点1:盗号病毒“产下”海量恶意网页
去年的病毒,大多数都是以破坏系统为目的,而今年上半年出现的病毒,很多都是以盗号为最终目的的。今年上半年大量涌现的木马生成器是病毒泛滥的罪魁祸首之一,例如《中华吸血鬼木马生成器》,菜鸟只要在其中点几下鼠标即可自动生成禁用杀毒软件的病毒。为了扩大病毒感染范围,提高盗号的成功率,很多病毒都借助网页传播,于是恶意网站成倍增长。
独家编辑观点2:病毒技术进入驱动级
要想盗号,首先就要在受害者电脑中生存,于是禁用杀毒软件就成了病毒的“基本功”。去年只有高级病毒才会的招数,现在可以说是“十毒九会”了。上半年病毒用得最多的禁用杀毒软件技术就是释放反杀毒软件监控驱动和映像劫持。
释放反杀毒软件监控驱动是今年上半年最流行的病毒技术,利用该技术的病毒入侵电脑后,释放反杀毒软件监控驱动程序卸载杀毒软件与系统连接的钩子,从而使杀毒软件的监控失去作用,这样病毒就可以在电脑中为所欲为了。
独家编辑观点3:网络钓鱼盯上奥运会
今年恰逢北京奥运,众多骗子频频出现打着奥运的旗号行骗。主要有以下几种方式:假冒奥运官方网站,兜售所谓的奥运门票;以“奥组委与××公司联合举办有奖活动”为名,举办所谓的抽奖活动,其实要骗的就是网民的手续费等;举办所谓的奥运促销活动,超低价卖商品,骗取网民的邮寄费等。其实大家只要不幻想天上掉馅饼,就可以避免上当受骗。
独家编辑观点4:虚假软件个个鼓吹“高科技”
今年上半年出现了大量靠虚假软件忽悠人的新骗术,宣传普遍夸大其词,且无一例外地都以“高科技”自我标榜,例如冒充电脑报推荐自己的虚假视频嗅探软件,其实就是一个空壳软件。这些虚假软件瞄准的就是网民的好奇心与猎奇心,故意宣传得神乎其神,诱使网民上钩,但是它们都是空壳软件,根本不具有实用性。
黑榜反思:杀毒软件如何打赢驱动级战争
杀毒软件的对手变了,它们不再以躲避为主,而是直接与杀毒软件硬碰,还占了上峰。杀毒软件又该如何面对病毒的挑战呢?针对今年流行的驱动级病毒,杀毒软件可以开发新的驱动级保护技术。当前杀毒软件的驱动级保护技术基本上是跟病毒比手快,谁先抢到系统调用地址表,谁就先抢到系统控制权。如何阻止病毒攻占系统内核是2009版杀毒软件必须要考虑的。
此外杀毒软件需要加强自身的保护能力,增加一些诸如反映像劫持、进程强力保护之类的功能,不要轻易地被病毒打倒。杀毒软件还需要有实时监测用户Web访问请求的功能,这样一旦发现主动或被动连接具有安全威胁的网站时,就可以先行拦截并予以警示,最大限度地保护电脑安全。
上半年黑榜三大“最”
最猖獗的病毒网站:*.service-google.cn
*.service-google.cn网站内存放了大量机器狗、磁碟机等恶意病毒,利用无限新增、变更子网站地址的方式向外疯狂传播病毒,是机器狗、磁碟机病毒快速爆发的元凶之一,各类还原技术纷纷遭病毒轻易穿透,众多网吧“旧伤未愈再添新痛”,遭受重创。
编辑点评:种种迹象表明此类利用底层硬盘驱动技术的病毒将会越来越多,而目前大多数网吧依然在用传统的软硬件还原方式,面对汹涌袭来的病毒将不堪一击,随时可能全网崩溃。当前急需全新的存储还原技术,以应对日趋严峻的网络威胁。
最诱人的奥运中奖——www.qq2007-68.cn
随着奥运脚步的日趋临近,骗子们闻风出动,上半年就出现了200多个以奥运中奖为噱头的钓鱼网站,其中读者举报最多的当数www.qq2007-68.cn(图1)。该网站通过QQ、短信等方式谎称由腾讯与奥组委举办有奖活动,每日抽取丰田豪华汽车、奥运全赛事门票、88888元现金及各类数码大奖。
可是领奖就远非中奖那么容易了,须先通过银行汇款的方式缴纳数百元的“手续费”。不少网民难抵超级大奖的诱惑,被花言巧语蒙蔽后“慷慨”汇款,结果骗子得手后便立刻逃之夭夭,这时受骗网民方才如梦初醒,后悔不已。
编辑点评:奥运临近,不法分子利用奥运作祟的手段可能会变化,不会再以中奖为噱头,而可能出现一些所谓的“奥运病毒”,这些病毒会藏身于网络视频、电子邮件中,大家一定要警惕。
最忽悠的虚假软件:《手机充值卡算号器》
在上半年截获的多个虚假软件中,最具吸引力和迷惑性的恐怕非大名鼎鼎的《手机充值卡算号器》莫属。它号称通过国际先进的独创数据库渗透技术连接40多家售卡网站数据库;免费下载安装,只要一点算号按钮就能轻松免费获取手机充值卡号。
如此令人兴奋的奇异功能,吸引了众多期待能免费充值话费的网民,纷纷缴纳数额不等的注册费用,期待能拥有一棵“话费摇钱树”。然而交钱之后对方就音讯全无,再也无法联系,大呼上当为时已晚。原来所谓的《手机充值卡算号器》纯粹是骗子用来行骗的虚假软件。
编辑点评:虚假软件在上半年出现的非常多,除了《手机充值卡算号器》之外,还有盗用电脑报名义宣传的一些暴力视频破解软件、宣传得神乎其神的《迅雷快车》之类的超级下载软件。面对此类网站,不要轻信那些过于完美的宣传,越神的东西就越假。
黑榜半年统计及分析
1.曝光总数
黑榜开设以来已累计收录恶意网站链接3165个(截至6月30日),其中2008年上半年收录2620个,占总数的83%。在这短短6个月时间里,黑榜平均每周屏蔽超过100个恶意网站(图2),并曾在今年5月创下单周屏蔽300个网站的高峰纪录,是对恶意网站的有力反击。
2.曝光成效分析
在已屏蔽的3165个恶意网站链接中,有996家主动或被动关闭,占总数的31%,与去年相比有所下降;846家自行整改、纠正恶意行为,比例占到27%,与去年持平。目前仍有多达1323家恶意网站被曝光后依旧我行我素,或转为其他恶意攻击行为,占总比的42%(图3)。整体治理成效为58%。
可以看出,尽管上半年黑榜的工作取得了一定成绩,但与去年相比,被曝光后恶行依旧的网站比例出现较大幅度上升。相应的,主动或被动关闭的网站比例则有所下降。这是因为去年的恶意网站不少是正规的网站,它们发现有问题后就会及时处理,而今年上半年出现的恶意网站大多都是纯粹的病毒网站,根本不会自己消失。
黑榜预测:暑期将是病毒高发期
今年下半年可能是病毒、恶意网站的高发期,特别是恰逢暑期与奥运的临近,更让今年夏天的网络安全面临严峻挑战。
暑期,网络游戏将再度迎来上线高峰,各类网游木马也将闻风而动,纷纷出笼,网游玩家务必要做好账号防盗措施,使用游戏官方提供的高级别安保产品,如密保卡、将军令等,同时安装杀毒软件和防火墙并及时升级。提醒网吧业主定期查杀网内病毒,防范机器狗4代等穿透还原类病毒在网内滋生,切实保障网游玩家的利益。
奥运期间,出现“奥运病毒”的可能性非常大,这类病毒可能会隐藏于邮件或者网络视频中,偷偷地入侵用户的电脑。因此,不要轻易地打开奥运标题的邮件,尽量去经授权的正规网站,通过P2P网络下载相关视频时要格外小心,注意查毒,那些标题火热的视频文件极有可能捆绑有病毒。
新版HOSTS反黑文件下载
HOSTS反黑文件推出一年来,得到了广大读者的积极好评,对抑制恶意网站的传播起到了明显效果,但是我们也发现,当前的HOSTS文件存在一定不足和缺陷,如发现恶意网站时没有任何提示,直接白屏,而白屏的原因可能有多种。
鉴于此,黑榜将从本期开始启用可返回警示页面的新版HOSTS反黑文件,当访问含有潜在威胁的网站时,能在屏蔽后予以说明。此外,本期HOSTS反黑文件新增加了1000条最新恶意网站链接,下载地址:http://www2.shudoo.com/web/f/host.html。希望广大读者能一如既往地支持黑榜,积极举报。我们的口号是:做读者信赖的黑榜,做读者喜爱的黑榜!