瑞星称感染型病毒蔓延 64位操作系统不再安全

腾讯科技讯（乐天）7月11日消息，瑞星公司昨日对外公布了《2012年上半年中国信息安全报告》。 报告显示，2012年1至6月，瑞星“云安全”系统共截获新增病毒样本3,349,373个，病毒总体数量与去年同期相比有所下降。2012年1至6月，共计7.4亿人次网民被病毒感染。

报告同时指出，随着64位操作系统的逐渐普及，感染64位PE文件的病毒呈明显上升趋势，这意味着64位操作系统已不再安全，尤其是企业级用户应采取相应的安全保障措施，才能预防此类信息安全威胁。

一、病毒与木马

1. 病毒概述

2012年1至6月，瑞星“云安全”系统共截获新增病毒样本3,349,373个，病毒总体数量与去年同期相比有所下降。其中木马病毒2,808,723个，占据总体病毒比例的83.86%，紧随其后的病毒依次为感染型病毒(Win32)、蠕虫病毒(Worm)、恶意广告程序(Adware)、病毒释放器(Dropper)和黑客后门(Backdoor)。

图1：2012年1-6月病毒构成分析图

2. 十大病毒排行：木马病毒猖獗

2012年1至6月，共计7.4亿人次网民被病毒感染，平均每天411万人次网民中毒,按感染人数、变种数量和代表性进行综合评估，瑞星评选出了2012年上半年的十大病毒。

图2：2012年上半年十大病毒

3. 病毒技术趋势分析：从“破坏”到“谋财”

通过对2012年1至6月新增样本的病毒行为分析发现,今年的病毒数量与去年同期相比有所下降，从表面上看，似乎处于“风平浪静”的状态，但实际上病毒将其破坏行为转变为“地下操作”，用户传统观念中的中毒后“电脑死机”、“无法上网”等现象不再是主流病毒采用的方式。目前，最为流行的病毒均以篡改IE首页、盗取用户隐私信息等方式，实现为黑客带来巨大经济利益的目的。

1)病毒、杀软“战争”进入白热化

随着杀毒软件对病毒的强力围剿，病毒作者对抗杀毒软件的方法也不断升级。以往，病毒通过增加垃圾数据将病毒文件不断增大来规避“云查杀”，今年已升级为通过病毒守护进程，定时更新病毒MD5值的方式，使杀毒软件无法进行有效识别。瑞星安全专家介绍：“这种方式就好比汽车的自动翻牌器一样，在遇到检查时，自动换上另一套号牌。”

此外，某些病毒竟然能够做到使杀毒软件“选择性失明”。传统病毒在进入系统后，为躲避杀毒软件查杀，往往会利用各种手段，尝试将其破坏，这种方式容易引起用户和安全厂商的注意，从而察觉电脑中毒。因此，病毒作者进行了策略调整，借助一些正常软件的数字签名，“合法化”的绕过杀毒软件的检测机制，使杀毒软件不将其视为病毒，而是当作“正常软件”放行。

例如，瑞星“云安全”系统近期监测到一款名为Trojan.Win32.FakeIME的病毒，该病毒将自身伪装成为某知名输入法图标，并盗用其数字签名，从而逃避杀毒软件的监控和查杀。瑞星安全专家介绍，病毒采用的技术在进步，杀毒软件的查杀技术也在不断提高。预计今年下半年，病毒和杀毒软件的对抗将会向白热化升级。

2)网银盗号愈演愈烈，病毒趋于智能化

随着网上购物、网银交易的不断普及，大批黑客开始专注劫持网银进行获利。2012年上半年，瑞星“云安全”系统智能分析处理中心经过对流行病毒行为方式自动提取规则后发现，针对网银类的木马病毒使用的技术发生了明显变化。

以最为知名的“网银超级木马”为例，最初的样本往往采用恶意DLL文件实现篡改支付信息的方式，如今发展到通过解密并将恶意代码注入到傀儡进程中，由傀儡进程去实行恶意行为，这样做的目的是能够绕开一些杀毒软件的主动防御规则，从而逃避查杀。

如图所示，最初“网银超级木马”和近期最新变种行为流程对比图：

图3：“网银超级木马” 最新变种行为流程对比图

3)感染型病毒蔓延，64位操作系统不再安全

通过对1至6月的数据分析发现，感染型病毒*依旧是继木马之后的第二大病毒类型。另外，随着64位操作系统的逐渐普及，感染64位PE文件的病毒呈明显上升趋势，这意味着64位操作系统已不再安全，尤其是企业级用户应采取相应的安全保障措施，才能预防此类信息安全威胁。

上半年，一种可感染64位操作系统的“Xpaj”病毒悄然流传，“Xpaj”比以往所有感染型病毒都要复杂，不仅使用了传统的入口点模糊、多态等技术，最为复杂的地方是它将病毒代码替换掉原程序中子函数的代码，从而与原程序代码很好的融为一体，给传统杀毒软件在清除该病毒时造成了巨大的困难，“不是杀不了，就是杀后被感染文件无法使用”。

*注释：感染型病毒具有易传播，不易清除等特点，同时会给用户造成巨大的危害。传统的普通感染型病毒如:在文件末尾增加节、增加最后一个节大小、修改PE文件入口点。针对这种普通感染型病毒，传统杀毒软件比较容易清除干净，但是新型的复杂的感染型病毒业已出现。

4)Mac OS X安全优势不在，苹果用户安全意识需加强

苹果曾经自豪的宣称其开发的Mac OS X操作系统不易受病毒攻击。然而近期，苹果在网站上移除了“Mac不会感染PC病毒”和“保障你的数据安全，什么也不用做”的说法，其原因是苹果Mac电脑近期遭到Flashback僵尸网络的攻击。这使苹果意识到，自己的系统也并不像预想的那样百毒不侵。

瑞星安全专家指出，世界上没有绝对安全，只有相对安全。用户之所以认为Mac系统安全性高，是由于此前的用户数较Windows相差甚远。随着近年来，苹果产品在中国用户中的迅速普及，黑客针对该系统的入侵价值大大提升，因此，Mac安全问题才显露出来。未来这种情况还可能继续升温，广大用户需要提高安全意识。

二、恶意网站

1. 挂马网站：常用操作系统频遭攻击

1)挂马网站概述

2012年1至6月，据瑞星“云安全”数据中心监测，截获到挂马网站*(以网页个数统计)237万个，与去年同期的236万个相比基本持平。2010年、2011年两年挂马网站连续下降90%以上的态势到今年戛然而止，主要原因是挂马网站形式单一，且技术上无本质突破，安全厂商现阶段的防护技术可对其进行有效打击。

令人欣喜的是，在报告期内瑞星拦截挂马网站的攻击总计1,986万次，与去年同期5,430万次相比降低65.43%。其具体分布情况如下：

图4：2012年1-6月挂马网站上报量

*注释：挂马网站指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。木马网站：是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中运行。

2)Windows相关漏洞仍难摆脱挂马网站的“魔咒”

经瑞星监测，上半年的木马攻击有4成基于IE漏洞，4成基于Flash漏洞，2成为其他漏洞。Windows操作系统的相关漏洞仍然是被黑客们利用最多的主要攻击途径。

图5：2012年1-6月漏洞排行Top10

3月13日晚间，微软发布了今年3月份的安全公告，该公告中共更新了6个漏洞，其中一个名为MS12-020的漏洞为超高危漏洞，黑客可利用该漏洞构造特殊的RDP协议包远程控制用户电脑或服务器。由于该漏洞影响XP、2003、Win7和2008等所有Windows系统，所以给用户的隐私安全造成严重的威胁。

而时隔一个月，4月25日，存在于微软刚刚发布一个名为CVE-2012-0158的漏洞被披露已经被黑客利用。黑客利用该漏洞制造出畸形的doc/rtf等文件，通过电子邮件、网页等形式传播，用户一旦打开，电脑就会被黑客控制，盗取隐私信息、下载病毒。

2. 钓鱼网站：种类多样化，诈骗手段层出不穷

1)数据分析

2012年1至6月，瑞星截获钓鱼网站315万个(以URL计算)，是去年同期的1.3倍；共 9,903万人次网民遭钓鱼网站侵袭。具体分布情况如下：

图6：2012年1-6月钓鱼网站数

图7：2012年1-6月钓鱼网站上报总次数

钓鱼网址大量增加，而网民受到钓鱼网站攻击次数却小幅回落，其原因在于现有的反钓鱼技术能够拦截大多数钓鱼网站，并通过“云拦截”、“云防护”等手段第一时间让所有用户具有智能反钓鱼能力。上半年钓鱼网站最多的类型分别为：假冒银行类、假冒中奖信息类、假冒购物网站类。详细情况如下：

图8：2012年1-6月钓鱼网站数量与比例

2)网络钓鱼现状分析

据瑞星“云安全”数据监测显示，上半年，随着B2C电子商务的迅猛发展，网络钓鱼事件愈加频繁。钓鱼网站的生命周期比去年同期更短，多数都是跟随节假日以及热点事件应运而生。同时，对比去年同期数据，网络钓鱼类型在构成上也更加复杂，说明黑客也在根据市场的变化不断调整策略。

A. 银行类网站频遭仿冒

目前，银行类网站仍然是钓鱼网站最常见仿冒对象之一。相对于其他类型网站，假冒银行网站窃取用户信息更加直接，同时给用户带来的经济损失也更加巨大。

今年上半年，网上曝出中国银行网站频遭大量钓鱼网站假冒，假冒网站通过诈骗短信谎称中国银行网银升级，进而骗取客户的密码。仅仅几十秒时间，就能转走受害人存款，多的有数百万元之巨。

B. 中奖信息类、假冒购物类钓鱼网站大肆横行

中奖信息类钓鱼网站、假冒购物类钓鱼网站往往都是利用一些网友贪占小便宜的心理进行诱骗。近期，这些网站甚至掌握了一些知名品牌或企业的网上活动周期，对各方面活动信息都模仿的惟妙惟肖，让网友们难以分辨真假。

一位李小姐就表示曾经收到过QQ中奖的邮件。网页中有QQ的LOGO以及详细的兑奖步骤，按照提示填写了个人资料以后，该网站就要求李小姐填写自己的银行账号及密码。这使李小姐警惕起来，仔细一看，网页显示的地址并不是腾讯公司的官方页面，而是www.qquuccqq.com。

C. 彩票类钓鱼网站激增

今年上半年，彩票类钓鱼网站数量猛增，从去年的寥寥无几增加到总体钓鱼网站数量的9%。近年来，线上购买彩票已经成为网友们习以为常的事情，一些专业的“彩民”甚至会一次性花上千乃至上万元投注，这也给了黑客们可乘之机。

经瑞星“云安全”数据中心监测，今年4月份，彩票类钓鱼网站激增，这些钓鱼网站都是模仿正规彩票网站，骗取“彩民”们的信息及钱财的。

北京的张先生就表示曾在彩票网站投注时被骗过2万余元。张先生本是跟别人合伙对彩票进行“投资”的，没想到在进行操作的时候误点入钓鱼网站，白白损失了钱财的同时，还将合伙人得罪了，可谓是有苦说不出。

D.节假日成为钓鱼高峰期

据今年上半年统计，节假日是钓鱼网站最猖獗的时期。由于近年来，商家惯于利用各种节假日进行网上促销等活动，这让黑客们有机可乘。春节、三八妇女节、五一、母亲节、端午节、父亲节，消费者已经习惯在这些节日进行采购，无论是自用还是送礼，这个时期的折扣多，非常有诱惑力。而黑客们正是看中了这一点，以节日低折扣的招牌，混在诸多网购网站当中，骗取网友的信息与钱财。

E. 热点事件催生网络钓鱼

近年，在网络运营商们从追捧热点事件中看到了商机的同时，黑客也想借机谋取不义之财。高考前夕，各种“绝密”考试资料网站如雨后春笋般冒头。考生家长王女士透露，曾经在网上为孩子购买复习资料，网站推销说该资料能够百分之八十压中考题，然而当王女士用网银向其打款后，购买的考试资料却迟迟没有收到，再联系网站客服的时候，发现该网站提供的联系方式是假的。

无巧不成书，近期欧洲杯开幕，根据瑞星“云安全”系统数据分析发现，仅6月9日-11日开赛的前3天时间内，瑞星就截获了42万个来自钓鱼网站的攻击，其中赌球类钓鱼网站更是高达15%以上。这是因为很多对看球意犹未尽的网友在赌球网站上寻找刺激，参与了网上赌球的活动，其带来的直接结果就是巨大的经济损失。

3)钓鱼网站趋势分析

通过上半年的现状分析，可以看到，目前黑客采取的钓鱼策略主要有两种，一种是直接仿冒网上银行交易系统，无论是银行类钓鱼网站还是购物类钓鱼网站，均属于此种范畴。另外一种是制造虚假信息，诱使网友进入专门制作的相关页面进行钓鱼，中奖类钓鱼网站就是其典型例子。

可以预见，在今年下半年，还将有更多的钓鱼网站崭露头角，而且极有可能会根据节日、重大时事热点，变化出新的花样，甚至运用一些新的手段。网友要提高警惕，擦亮自己的眼睛，尽早做好防护准备，对于普通广大用户而言，最直接有效的方式是安装一款具有智能反钓鱼功能的安全软件。