网络安全！瑞星2010年度安全报告

• 瑞星

2010年，由病毒和木马造成的危害，比2009年同期有显著下降，所截获的病毒样本数及受害人数均下降一半左右;但是，由于针对网银用户的窃取和诈骗案例增加，造成单个受害用户的经济损失巨大，从而使整体经济损失数额急剧增加。

由于电子商务市场规模的扩大，一部分网络广告费流入黑色链条之中。由黑客控制的网址站、伪劣商品销售网站等，年收入高达数亿元，这给整个黑色产业链条提供了大量的资金支持。

数据显示，用户面临的安全问题越来越复杂，很多问题并非仅由“病毒和木马”引起，单一杀毒产品已不能满足用户需求。以“网银超级木马”为例，在整个传播和侵害链条中，钓鱼网站、钓鱼式软件下载已经占据了相当大比重，传统杀毒软件根本无法应对此类病毒。

对于网民觉得“现在病毒越来越少，不需要杀毒软件”的观点，瑞星认为，黑客链条的主要目标逐渐转向了网银用户，“以前写病毒要赚1万元，至少要偷几万个 QQ号;现在只要偷一个网银帐号就行”，在这种情况下，虽然许多网民“感觉比较安全”，但黑色产业获取的利益实际上呈现急剧上升的态势。

根据瑞星“云安全”系统提供的数据综合分析，中国互联网安全领域呈现以下特征：

1、2010年，国内互联网上出现病毒750万个，比去年下降56%;受害网民7.03亿人次，其中97%以上遇到的是广告点击器、修改浏览器首页的病毒等，属于低度受害;仅有不到2%的网民遇到过严重病毒危害，如网银被盗、电脑不断重启、系统崩溃等。

2、2010年，瑞星共截获挂马网站3382万个，遭挂马网站攻击的网民从年初的日均300万人次，下降到2010年底的日均140万左右，下降54%。

3、钓鱼网站数量急剧增加。2010年，瑞星共截获钓鱼网站175万个(以URL计算)，比去年同期增加1186%。受害网民4411万人次，损失超过200亿元1。

注意：瑞星“云安全”系统于2010年7月份正式加入智能反钓鱼功能，此处的钓鱼网站数量和受害网民数量统计，绝大部分收集的受害数据集中于该功能启用之后，之前的数据与其相比相差极大。

4、病毒与经济利益深度结合，商业公司成为黑客套现的主要手段。尤其是随着电子商务的发展，病毒诱骗网民购物，把用户的浏览器锁定成网址导航站，每年可以为黑客创造2亿元以上巨额收入。

5、2010年，出现了首个具有里程碑意义的“网银超级木马(alipay.exe)”病毒，与过去仅仅“单对单”窃取个人银行帐号不同，该病毒专门针对网络支付软件编写，利用第三方支付HTTP网页与网银的衔接认证缺陷，可以大批量骗取用户网银账号中的资金，单单这个病毒，成功窃取的资金就可能高达千万元以上。

6、同是在2010年，“超级工厂”病毒对伊朗核电站进行了成功的攻击，多台核心设备被迫停止工作。以前电脑病毒通常只能针对个人用户进行破坏，而核电厂、银行、证券公司等由于采用了封闭式电脑系统，有严格的保卫，很难被病毒大规模入侵，此次“超级工厂”病毒的出现，打破了核电厂不能被病毒入侵的“惯例”。

7、iPad平板电脑、智能手机等移动设备的快速普及，使得移动互联网与互联网之间的界限越来越模糊，而肆虐互联网的木马和网络钓鱼开始侵入移动互联网领域，如何建立一体化的安全保护方案，成为安全厂商面临的重要课题。

8、对聊天软件、杀毒软件和浏览器的隐私保护，在2010年底引起广大网民的关注。瑞星公司进行的小规模网络调查表明，有98%网民对目前主流软件的隐私保护情况表示关注，有76%的网民表示会由于隐私问题而放弃使用常用软件。针对此情况，作为专业的信息安全厂商，瑞星将推出全套安全解决方案，强力保护用户隐私，维护用户的上网安全。

#p#副标题#e#

一、年度安全状况总结

1、病毒数量有所下降，单个病毒感染电脑次数下降(病毒的传播范围减小)。

2010年，瑞星公司截获病毒750万个，比去年下降56%，受害网民7.03亿人次。

瑞星每月截获新增病毒文件数量曲线图

根据调查结果，2010年的受害网民中，约有97%的网民遇到的是“低烈度病毒侵害”。所谓低烈度病毒侵害，就是被广告点击器(adware类)、木马下载器、脚本病毒(修改和锁定IE首页)等侵扰，由于此类病毒通常只在后台点击广告，诱骗网民进行网络购物等，表面上看不出任何异常，普通网民很难发觉自己中毒。

而且这些网民多数安装了“免费杀毒软件”或安全工具，又看不到明显的病毒发作现象，通常会认为自己没有中毒，从而产生虚假的“安全感”。这些用户通常只有在真正丢失财物之后，才会发现自己已中毒。

2、网民的真实损失急剧上升。

2010年，单单被媒体曝出的网银资金被窃、浏览钓鱼网站被骗走钱款的案例就有一千多宗，涉案金额数百万元。

以前黑客们编写病毒主要为了窃取网游帐号、QQ号，但窃取几十万个QQ号，也许仅能获利几万元。现在黑客普遍改成了主要瞄准网银用户。这样，要获取同样的经济利益，以前要让几千人中毒，而现在只要偷或者骗一个支付宝帐号就行。

以“网银超级木马”为例，在某地的受害用户中，甚至有人一次被骗走60余万元。此前“熊猫烧香”病毒感染数百万台电脑，其作者李俊最终获取的利益不过14.5万元，两者相比风险和收益相差巨大。

在这种情况下，网民也许会产生“以前几个月中毒一次，现在好久没中毒，比较安全”的错觉。但实际上，黑客产业链的总体效益不断增加，有点“三年不开张，开张吃三年”的特点。

据瑞星“云安全”系统的统计数字，在2010年中，遇到过网游网银被窃、电脑系统被破坏无法启动等严重病毒问题的网民，约占中毒网民的2%。但他们遭到的经济损失，却占了所有网民的70%以上。

3、经济损失巨大。

以直接经济损失计算，中国网民因为病毒破坏电脑、木马窃取网银网游等带来的损失，估计在10-20亿元(参考全国的磁盘修复产业产值、电脑维修业产值、公安机关公布的网民报案案值推算出来);由于木马、钓鱼网站对于电子商务的威胁，很多人对使用网络购物存在疑虑，由此带来的间接损失无法估计。

4、2010年十大病毒

5、2010年十大漏洞

6、钓鱼网站数量疯狂上升。

2010年，瑞星截获钓鱼网站175万个(以URL计算)，比去年同期增加1186%。受害网民4411万人次，间接损失超过200亿元。本年度骗人最多的钓鱼网站(URL)是item.taobao.com-uik.co.cc，年度十大钓鱼网站如下表：

#p#副标题#e#

二、黑色产业侵蚀电子商务

众所周知，电子商务主要包括广告营销、网络购物、网络支付三个主要环节。2010年，我国的电子商务得到了飞跃式发展，淘宝每天的交易额都在数十亿元，团购网站已经有1100多家，京东、新蛋、当当等商城也发展迅猛。但在这一片繁荣之下，以木马、病毒和网络钓鱼为主的黑色产业也在侵蚀电子商务的根基。

黑色产业侵蚀电子商务的逻辑示意图

1、黑色产业侵蚀网络“广告营销”

以电子商务的网络“广告营销”环节为例，目前很多顾客是通过hao123、265.com这样的网址导航站点进入商品页面，进行购买的。大型网址导航站首页的一个广告价值数十万元。即使是小型网址站，只要有固定的访客，也可以得到不菲的收入。根据业内人士透露，一个日均10万名访客的网址导航，每月单单广告收益就可达到5万元以上。

病毒把用户电脑的图标指向其建立的网址站，吸引网民浏览

病毒和木马强行锁定用户浏览器首页，把其首页更改为某个网址站，然后一些公司就会在这些网站上投入巨额广告，如此形成一个“恶性循环”。据估计，单单网址站类病毒，每年就给黑客贡献2亿元以上的收入。

正是看到了这个赚钱的机会，有很多黑客编写病毒，进入用户电脑后什么都不干，只是把用户的浏览器主页替换成自己的网址站。对于中毒网民来讲，表面看没有任何损失，他们往往会采取放任态度。这样，黑客就可以坐享稳定而丰厚的收益。

用户的IE收藏夹中被加入购物导航链接

此类病毒通过诱骗用户下载进入个人电脑中(比如色情网站的所谓“高清播放器”，网游外挂、QQ农场外挂等)，他们用各种手段篡改用户电脑的桌面浏览器以及收藏夹，被篡改的浏览器开始仅为IE，目前所有浏览器都难以幸免。他们的最终目的就是为小网站做流量推广。

除了病毒网址站之外，利用病毒进行搜索引擎SEO、利用病毒发送营销电子邮件、利用病毒进行虚假的广告点击等，也是黑客进行网络营销，进而套现的盈利模式。

黑客主要盈利方式示例

据不完全统计，2010年，曾经进行过恶意推广的网站有Go2000.com、Qq5.com、1188.com、Hao200.com等，有的网站甚至进入了Alexa排行Top100，这给黑客带来巨大的经济利益。据估计，2010年黑客通过网络广告、恶意推广购物导航途径获取的资金高达3-5亿元。

2、黑色产业侵蚀“网络购物”和“网络支付”

2010年8月，瑞星截获一个专门针对支付软件与网银请求环节进行攻击的木马病毒，并命名为“网银超级木马”病毒。该木马病毒篡改用户浏览器首页并窃取用户网银财产，同时还会利用下载工具、浏览器和购物软件的数字签名来绕开杀毒软件，已经衍生出200余个变种。

该病毒主要通过IM软件进行传播。当网民在网上购物时，一般会与商家讨价还价，有的黑客会先建立一个网络店铺，在利用聊天软件讨价还价的时候，把伪装为图片的木马发送给网民，网民点击后就会中毒。当网民在利用网银支付的时候，该病毒就会发作，把原来的账户替换成黑客自己的，这样，网民支付的钱就进了黑客的口袋。

单单此病毒，在全国感染的电脑高达3万余台。据媒体统计，受害者高达数千，受骗金额高达数百万元。

“网银超级木马”是国内首个专门针对网络支付编写的病毒。以前的网银木马，通常只针对个人编写，运行环境要求严格，窃取成功率不高;而“网银超级木马”不同，它利用了第三方支付HTTP网页与网银的衔接认证缺陷，可以危害几乎所有的网络银行与第三方支付的衔接环节，窃取成功率极高，犯罪后极难追查。

#p#副标题#e#

三、钓鱼网站急剧增加

网络钓鱼(英文为Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击)，传统意义上指的是利用伪造银行网站的方式，窃取用户银行帐号的行为。但随着网络应用的复杂，网上出现了很多“钓鱼”的新形式。

瑞星认为，凡是企图利用人们对著名品牌、网站和机构的信任，通过网络进行诈骗活动的行为，都可以称为“网络钓鱼”。由于绝大多数钓鱼网站无木马病毒或恶意代码，所以传统安全厂商很难全面监控并及时处理钓鱼网站的威胁。2010年，瑞星截获的钓鱼网站数量出现爆发性增长，从去年的13万增加到175万个，增加11倍。

“QQ刷钻王”，当用户使用时，会诱骗网民订购手机套餐

在所有的钓鱼网站中，假淘宝、假QQ、假非常6+1、假工商银行和假新浪，成为钓鱼网站中的五大常见种类，这五大类网站占据了所有假冒网站的76%。这些钓鱼网站通常使用与被模仿的著名网站相似的域名，采用聊天软件、电子邮件等方式传播。以“大抽奖”、“两折机票”、“百元电脑”等方式进行诈骗。

#p#副标题#e#

四、2010年病毒特点

1、木马窃取的目标从网游转向网银

从瑞星截获病毒样本的数量、受害网民求助案例的数量来看，本年度木马病毒窃取的主要目标从网游、QQ等虚拟财产，全面转向网银和支付帐户，所有主流网络银行和第三方支付工具，都有受害案例出现。

针对性病毒的数量，与网银、支付工具的市场地位密切相关，比如在网络购物领域，有多种木马和钓鱼网站是针对淘宝、工商银行编写，其客户端一旦出现漏洞，马上就会被黑客利用，编写相对应的木马。

本年度最典型的病毒，当属在网上泛滥的“网银超级木马”病毒，它是国内罕见的首个针对大量网银支付平台的病毒。其盗取用户钱财的手段采取了劫持用户支付页面的方式，而非传统的直接盗取账号密码。

目前的网银木马主要攻击目标就是针对网络交易的HTTP接口中的购物网站与支付网站之间的衔接认证上存在的薄弱环节。就目前得到的针对国内网络交易的网银木马分析情况来看，主要的攻击手段为替换交易流程中的交易请求，将交易对象混淆，诱导交易者错误地将现金支付给其他账户，从而骗取现金。

2、病毒和木马的钓鱼式传播

这些病毒看上去很像图片，但其实是exe格式的病毒

由于杀毒软件的防挂马等技术的日益成熟，之前的通过网页挂马入侵成功的概率越来越小。进入2010年，黑客开始更多地采用钓鱼式传播。

以“网银超级木马”病毒为例，黑客先在淘宝、拍拍等购物网站建立网店，然后通过聊天工具将诸如“细节图”、“报价”、“实物图”等名称的文件发给买家，这些文件图标一般为图片图标，买家打开后病毒会在后台运行，骗取钱财的成功率非常高。

瑞星公司截获到的最早的“网银超级木马”病毒始于2010年7月份，截止到12月份，共截获到该病毒的200余个变种。

3、不良下载站故意传播低烈性病毒

由于本年度电子商务网站的大量增加，导致“改IE，赚广告”这种方式非常赚钱，使得很多电影下载站、网游外挂网站等都采用了这种方式。

以最近流行的《让子弹飞》电影为例，搜索在线电影网站，不难发现有这样一些网站：

这个所谓的“本站专用软件”，其实就是不良程序

有些不良的在线观看网站借助安装本站专用网站的机会诱使用户安装病毒，甚至以“本站播放的是盗版电影，会遭到瑞星等软件拦截”等为由诱使用户关闭杀毒软件。年初发现的虎虎生威系列病毒变种就是以QVOD播放器下载为诱饵传播的。

4、病毒与杀毒软件对抗的四种手段

2010年，黑客用来与杀毒软件对抗的技术手段主要有四种：

(1)、阻止杀毒软件联网，使“云安全”失去作用。

目前有多种杀毒软件为了追求“体积小、占用内存小”而采用了彻底的“云查杀”方式来对付病毒，遇到病毒时需要连接服务器，读取病毒的特征码之后再进行查杀。一旦不能联网，采用该技术的杀毒软件就变得形同虚设。

针对这些杀毒软件的“云查杀弱点”，病毒采用了各种手段切断杀毒软件的升级渠道。采用的方法有安装过滤驱动，添加IPSEC策略，添加路由表规则，添加DNS劫持，winsock组件劫持等等。最典型的当属今年流行的“狗皮膏”木马病毒。

(2)、自动增肥，给杀毒软件采集样本制造障碍

目前绝大多数杀毒软件遇到可疑文件时都会上传到服务器，对这些采集到的样本进行分析后加入病毒库，实现对病毒的查杀。

传统病毒的体积很小，这样比较有利于传播。有些杀毒软件也针对这个特点，对可疑文件的上报做了限制，超过一定大小的就不再上传;有些“云查杀”杀毒软件为了快速查杀，也主动忽略了某些较大文件的查杀，这就给病毒以可乘之机。很多病毒在复制自身的时候，会不断的向文件内写入垃圾数据，使得文件变得很大，这样就可以躲过杀毒软件的上传甚至查杀。某些病毒的体积，甚至超过100M，相当于一集电视剧的体积。

(3)、盗用正规软件签名，绕过杀毒软件查杀。

正规商业软件通常会有自己独特的“数字签名”，杀毒软件遇到带有签名的软件时会主动放过。由于有些公司对于自己的“数字签名”管理不严格，造成有的签名被病毒盗用，从而绕过杀毒软件的查杀。例如“超级工厂”病毒，就盗用了某声卡厂商的签名，让杀毒软件认为自己是正常的声卡驱动，从而躲过杀毒软件的查杀。

某病毒中带有的数字签名

(4)、多种正规软件存在安全性缺陷，被病毒利用来传播

2010年，由于多种正规软件存在安全性缺陷，被病毒利用来传播。如农业银行软件ABCChina.exe运行Feitian.exe缺陷等。

#p#副标题#e#

五、未来安全趋势与展望

1、针对网银进行攻击的木马和钓鱼网站形成规模

手机支付、网银支付等支付手段的便捷化，将给网银木马的泛滥带来方便。目前无论是第三方支付公司、银行还是移动运营商，都没有应对大规模病毒攻击的专业经验，像“网银超级木马”病毒的出现，就已经让相关银行、手机支付公司焦头烂额，忙于应对;对于网民来讲，也没有相应的防范经验，更容易受到网银木马攻击。

2、智能手机、iPad等新型平台的出现，将给钓鱼网站和木马提供更多攻击机会

目前已有黑客大规模发送钓鱼短信，以“您的网银密码被修改，请登录网银网站确认”。而短信中的银行网址是黑客建立的假网站，一旦在上面填入了网银账号和密码，账户中的资金就会被窃取。

3、针对专业厂商和专业系统的病毒日益泛滥

2010年，瑞星曾经接到某ERP厂商的求助，有病毒专门针对此厂商的系统进行攻击，使其数据库内包含的数据被篡改。尽管使用此ERP系统的用户数量虽然不多，但都是在业内具有重要影响的公司，因此在行业内引起了极大恐慌。

与此类似，专门针对西门子自动化控制系统的“超级工厂”病毒，也给全球工业界带来冲击，尽管只有伊朗境内的核电厂被成功攻陷，但从技术角度讲，如果黑客专门针对国内敏感行业和机构进行攻击，其成功概率也非常大。

目前几乎所有的行业，如地铁、高铁、飞机、电厂等关系到国计民生的行业都采用了自动化控制技术，如果有黑客个人或组织针对此类系统进行攻击，则带来的危害将超出人们的想象。

4、网民隐私被越来越多的记录，需要进行更严密防护

除了电话号码、银行帐号等传统意义上的隐私之外，现在有很多上网行为实质上已经成为网民个人隐私的一部分，但这并没有得到广大网民应有的关注。比如，网民在搜索引擎进行的搜索记录，在购物网站的购物记录，在论坛和微博的发言记录等，都可能会对自己的现实生活带来严重影响。

#p#副标题#e#

六、总结

互联网黑色产业正向着专业化、产业化的方向发展，通过与商业资本的紧密结合，黑客与网络犯罪团伙获取了高额利润。由于商业利益的驱使，很多商业公司或多或少地介入到黑色产业链的链条中。

在未来可预见的时间内，黑色产业给整个网络带来的安全威胁会日益加重，这可能表现在针对电子商务、电子支付等涉及金钱的账户进行盗窃或诈骗。同时，我们也看到，一些传统犯罪团伙正在开拓新的犯罪领域，包括电信诈骗、网络钓鱼等新型犯罪手段受到了有组织犯罪的青睐。

例如，12月27日，在公安部统一协调下，9省(区、市)公安机关联手菲律宾警方和台湾警方，展开同步打击行动，成功摧毁一个特大跨国电信诈骗犯罪集团，破获电信诈骗案件451起，涉及被骗金额1.4亿元。这就是一个典型的以高科技网络犯罪为特征的犯罪团伙。

针对上述报告提到的问题，仅有杀毒厂商的努力还远远不能够应对复杂的形式，一方面需要全功能的安全产品做技术保障，另外还需要政府有关部门通力合作，对网络犯罪的其它环节进行严厉打击。

该报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星互联网攻防实验室等部门的统计、研究数据和分析资料，仅针对中国大陆地区2010年网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用，如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。