【51CTO.com綜合報道】

一、綜述

據百銳信息安全實驗室（ByteHero Lab）云安全系統數據統計，2011年上半年全球互聯網用戶賬戶信息安全所受到的主要威脅有盜號木馬、欺詐網站、服務器攻擊和手機病毒四種，呈現以下特征：

1、盜號木馬制作更加專業化，與反病毒軟件技術對抗逐步升級。

2、隨著席卷而來的電子商務發展浪潮，欺詐站點數量明顯增加，其在惡意域名中所占的比重呈上升趨勢。

3、Android設備急劇增加，隨之而來的Android病毒木馬的危害開始顯現。

4、儲存了大量用戶資料和行為的服務器（云計算服務商）遭受攻擊，如索尼用戶信息泄漏事件。"Threats to Cloud"成為現實給用戶賬戶信息安全帶來前所未有的挑戰，用戶賬戶信息威脅正由個體損失向群體損失轉變。

二、核心數據簡述

1、報告期內(2011年上半年)，百銳云安全系統在全球范圍內共截獲新增木馬樣本816214種，總體數量與去年同期相比上升32.4%。中國大陸地區148467種，占全球18.19%。

2、危害用戶賬戶的前四類木馬依次是Trojan.Win32.OnLineGames，TrojanDownloader.Win32.FakeQQ和TrojanSpy.Win32.Banker 以及Trojan.Win32.AliPay。

3、報告期內百銳共截獲了47.2萬個掛馬網址，其中com域名占76.32%。

4、報告期內百銳共截獲了43.9萬個欺詐網址。主要的方式有：提示用戶中獎并給出中獎驗證碼，仿冒知名電子商務網站和銀行網站。

5、報告期內百銳共截獲手機病毒木馬家族1021種，其中Android病毒木馬第二季度較第一季度增加了29.09%。

三、免責聲明

本報告綜合百銳信息安全實驗室（ByteHero Lab）云安全系統的統計。本報告作為互聯網用戶賬戶信息安全狀況的介紹和研究資料對外提供，如若與其它機構研究結果有差異，請使用方自行辨別，百銳信息安全實驗室不承擔與此相關的一切法律責任。

四、盜號木馬

1、盜號木馬概述

報告期內百銳云安全系統在中國大陸地區共截獲148467種盜號木馬。按照CNNIC數據顯示，截至6月底中國網游用戶達3.11億，國內網絡游戲產業年產值已超百億元，受利益驅使，針對網游的盜號木馬在所有木馬中的比例超過其他種類。

??

2、木馬技術趨勢分析

通過對1至6月新增木馬的惡意行為分析發現，互聯網新增的木馬對計算機系統的損害越來越小，對用戶操作體驗的影響也越來越小，導致計算機反復重啟、阻斷網絡連接及正常軟件無法使用的惡意行為已十分少見。其目的是在用戶不知情的情況下實現竊取私人信息（包括網絡游戲、IM、網銀等帳號信息）。其中，游戲外掛插件捆綁木馬、玩家間傳輸文件以及私服發布網站掛馬是網游盜號木馬的三大傳播途徑。

盜號木馬制作更加專業化，與反病毒軟件技術對抗逐步升級。例如進程隱藏、雙進程守護等內核級技術開始大量應用。為了對抗云查殺，免殺方法也在改進。木馬作者通過加大木馬體積，使用組合木馬技術以及對木馬解密器進行非傳統多態方式的偽裝技術等手段來對抗云鑒定器的偵測。

五、網站掛馬

1、網站掛馬概述

百銳云安全系統在全球范圍內共截獲掛馬網站47.2萬個。通過分析來看，利用0day漏洞仍然是黑客進行網站掛馬的主要方式之一。

中國2011年上半年互聯網整體掛馬情況非常普遍，全國所有省份都存在程度不一的掛馬現象。同時，國家重點部門和單位的網站也被發現存在較為嚴重的掛馬問題。春節期間是全年掛馬量最高的時刻，各個長假期間的掛馬量也比平時有顯著提高。受高考影響，6月份在被掛馬的網站中，高校網站開始明顯增多。

網民被掛馬網站攻擊成功時使用的軟件，主要是各種瀏覽器以及內嵌了網頁的流行軟件。

2、中國地區掛馬數據分析

報告期內，中國地區掛馬域名分布統計如下。

北京是掛馬重災區，居全國首位，其次是廣東和上海。掛馬源主要在國內服務器，其中廣東省是傳播重點地區。

全國主要地區掛馬餅狀分析圖如下：

??

3、全球掛馬域名數據分析

全球區域掛馬程度統計如下

掛馬域名分布較多的國家和地區依次是美國、中國、俄羅斯、越南、德國、韓國、法國等，如下圖所示。

??

六、網絡釣魚

1、網絡釣魚概述

網絡釣魚（Phishing）是近年來興起的一種新型網絡攻擊方式，黑客建立一個網站，通過模仿網銀官網、網購站點、游戲網站、彩票網站等，誘騙用戶上當。由于在整個環節中沒有任何的病毒、木馬和惡意程序參與，傳統殺毒軟件根本無法阻擋釣魚網站的攻擊。

2、數據分析

??

報告期內百銳共截獲了43.9萬個欺詐網址。較去年同期上漲37.54%。網絡釣魚主要的方式有：提示用戶中獎并給出中獎驗證碼，仿冒知名電子商務網站和銀行網站。

一個典型的網絡釣魚事件的流程是：提示用戶中獎,并給出獲獎驗證碼'用戶輸入獲取到的驗證碼后，進入下一頁面，提示用戶所中獎項'要求用戶匯款來辦理手續等內容。

如下圖所示

七、手機病毒

6月，中國互聯網協會反網絡病毒聯盟發布了我國首個關于手機病毒命名及描述的技術規范《移動互聯網惡意代碼描述規范》，描述了惡意代碼主要屬性分類：

??

報告期內百銳共截獲手機病毒木馬家族共1021種，攻擊的智能移動終端系統依次是Symbian、Android、WindowsPhone、iOS。

雖然Symbian的發展的步伐放緩，但是由于基數大，Symbian仍是手機木馬的重災區。

??

據分析，Android病毒木馬增勢明顯，數據和信息表明，Android惡意軟件對用戶的威脅正在持續上升。

??

八、用戶帳號信息安全趨勢發展

1、在對PC平臺盜號木馬的防御中，傳統的特征碼匹配技術已經越來越吃力了。原因是隨著病毒木馬的海量增長，殺毒軟件公司已經很難及時收集這些新增的病毒木馬樣本。即使殺毒軟件公司能收集所有樣本，隨著病毒庫的海量擴展，其體積也會日益增加，相應的殺毒軟件在計算機系統上將占用更多的內存等資源，最終導致系統資源難以滿足。加之傳統的特征碼病毒檢測技術具有先天缺陷：先有病毒，然后才能收集樣本提取病毒特征。這種被動響應模式永遠滯后于病毒發作。反病毒木馬新技術發展趨勢：

1.1反病毒虛擬機技術

通過構造一個虛擬機，將病毒木馬加載到虛擬機中運行，通過在反病毒虛擬機中監測被檢測程序的行為來判斷是否是病毒木馬。百銳實驗室經過多年研究，掌握了一流的反病毒虛擬機技術，自主研發了國內第一款基于代碼動態、靜態啟發分析等技術的啟發式檢測引擎，為廣大用戶提供未知病毒防御保護。

1.2云查殺技術

云查殺是基于在"云安全"的理念中實施的。云查殺是將過去單機版的數據庫安裝在云端（即服務器端）。由個體被動態向立體的主動發現查殺發展，使新病毒的查殺進入以秒為單位計時的時代。未來將是反病毒主流解決方案。

2、網絡釣魚的危害日益凸顯

目前的釣魚網站的識別和攔截主要基于黑白名單查殺方式，為了更好的攔截釣魚網站，僅使用黑白名單是不夠的。百銳反釣魚引擎在黑白名單技術基礎上，增加對網站的掃描和分析的過程，分析網頁特征及網頁的行為，通過精確匹配和概率匹配的方式對網頁特征進行處理，能夠第一時間識別釣魚網站。

3、云端結合查殺Android木馬

近期在多家Android軟件商店中，頻繁出現偽裝成正常手機軟件，以外發短信等形式實施惡意扣費、隱私竊取行為的Android手機病毒及惡意軟件。

"云+端"結合的"云安全"技術模式當前正在被快速應用到專業的手機安全軟件之中，并已成為當前和未來在移動安全領域的技術發展趨勢。其中，"云端"將重點解決惡意軟件的發現問題，從各種渠道收集軟件信息，并按照某種算法評估軟件的風險，而"終端"重點解決惡意軟件的查殺與防護問題，通過安裝部署在智能終端上的客戶端對惡意軟件進行查殺。

九、用戶賬戶安全防護建議

從數據和走勢分析可以看出，面對不斷涌現的新興威脅，亟待安全廠商進行通過技術創新來遏制其衍生。同時，企業及個人也應增強信息安全意識主動保護用戶賬戶和資產安全。

對于企業而言，計算機網絡的安全穩定至關重要，影響著企業的生存和發展。應充分重視數據信息的防護工作，增加人力、物力（高質量的軟硬件安全產品）投入。要建立企業計算機安全網絡防御體系，必須將原有的平面結構的計算機網絡調整為層次保護結構的網絡，形成外部網、辦公網和生產網等的多層結構。

任何企業、任何人都不能單純依賴一種方法來保護其數據及私密文件。除了安裝部署包括百銳引擎家族在內的正規安全產品，還應在平時注意更多細節，例如碎紙方法不當導致的數據損害，由公共數據庫導致的身份竊取，保護或監視不當造成金融欺詐。

對普通網民而言，可以采取多種措施來提高個人賬戶安全系數。例如，使用專業的安全軟件；培養良好的上網習慣；及時進行系統升級，修復漏洞；使用高強度口令；使用數字證書或令牌等安全產品。

十、關于百銳云安全系統

百銳信息安全實驗室自成立以來一直孜孜不倦地追求技術創新，致力于信息安全技術的研究。百銳是中國優秀的技術團隊，這支隊伍掌握著一流的病毒檢測技術。經過長期設計、研發、測試及改進，百銳于2009年8月正式發布國內第一款基于代碼動態、代碼靜態啟發分析的未知病毒檢測引擎。此后又陸續發布了啟發式反釣魚引擎、啟發式手機病毒檢測引擎等。百銳合作伙伴累計近七百萬客戶端使用百銳引擎提高其安全產品的惡意代碼檢測能力。

百銳對網絡有著深刻的理解和豐富的研發經驗，目前已經建成一個能夠涵蓋多種互聯網應用的先進的云安全系統。該系統能夠及時捕獲、分析、處理及統計來自互聯網的用戶帳號威脅事件，主要包括病毒木馬、掛馬網站、釣魚網站及手機病毒等。

1、目前，百銳的樣本捕獲主要來自以下幾個渠道：

1.1、蜜罐采集

1.2、誘餌信箱

1.3、廠商交換

1.4、監控探頭

1.5、用戶主動上報

1.6、樣本志愿者上報

通過多種渠道的配合，既保證了對流行樣本采集的高效性，同時又保證了樣本的覆蓋率，能夠在第一時間內捕獲病毒樣本，形成了一個龐大的監控預警體系。

2、樣本分揀平臺

百銳擁有一套強大樣本處理平臺，每日處理數萬次不重復的病毒上報事件，通過黑白名單、智能識別和人工分揀三重體制對所有捕獲到的文件進行分揀統計。