报告概要:
2009年,互联网和普通百姓的生活越来越紧密,无论是购物、休闲、工作都越来越显现出互联网的重要性。而与此同时,互联网安全问题也越发突出。从09年年初央视315晚会对网银安全问题的报道,到5.19全国断网事件的发生以及年末百度被“黑”事件,网络安全问题已经成为一个社会话题。
引发网络安全问题的根源就是“经济利益”。木马产业链、病毒经济都离不开利益。无论是盗号木马还是修改用户IE主页的恶意软件,这些病毒制作者的目的只有一个——“钱”。近几年,病毒、木马所带来的产业链规模不断刷新,到2009年,据金山安全实验室反病毒专家预测,2009年,病毒产业规模将达到百亿。
伴随着用户对网络安全问题的日益关注,黑客、病毒木马制作者的“生存方式”也在发生变化。病毒的“发展”已经呈现多元化的趋势,类似熊猫烧香、灰鸽子等大张旗鼓进行攻击、售卖的病毒已经越来越少,而以猫癣下载器、宝马下载器、文件夹伪装者为代表的“隐蔽性”顽固病毒频繁出现,同时小范围、针对性的木马、病毒也已经成为新增病毒的主流。
一、2009年中国互联网安全情况整体分析
2009年,计算机病毒和木马处于一个“低调增长期”,虽然一些类似熊猫烧香的重大恶性病毒越来越少见,但一些小范围、针对性强的新病毒、木马的数量依然在飞速增长。据金山毒霸“云安全”中心监测数据显示,2009年,金山毒霸共截获新增病毒和木马20684223个,与2008年相比增加了 49%。下图为近几年来的新增病毒和木马数量对比(图1):
在新增病毒中,木马仍然首当其冲,新增数量多达15223588个,占所有病毒重量的73.6%。黑客后门和风险程序紧随其后,这三类病毒构成了黑色产业链的重要部分。而且网站挂马的现象也显著增加。从2009年开始,金山网盾对互联网网页挂马进行全面监控。据不完全统计,全年共检测到 8393781个挂马网站。此外,欺诈类钓鱼网站的数量也在09年下半年迅猛增长,仅12月,金山网盾共拦截钓鱼网站多达1万多个。下图是不同类别病毒和木马比例图(图2):
2009年,根据金山毒霸“云安全”中心监测数据显示,金山毒霸在09年共拦截病毒8440631705次(约84亿次)。全国共有 76409010台(约7600万台)计算机感染病毒,与08年的感染量相比增加了13.8%。其中广东、江苏、山东三地的病毒感染量位列全国前三位,总感染量占到全国感染量的25%。全国各省的计算机病毒感染量如下表(图3):
二、2009年病 毒、木马技术特点的简单分析
第25次中国互联网络发展状况统计报告显示,截至2009年12月30日,中国网民规模达到3.84亿人,普及率达到28.9%。网民规模较 2008年底年增长8600万人。迅速发展的互联网行业背后,黑色产业链的发展也日益猖狂。据金山安全实验室统计,威胁的数量增长惊人,达到300%,于此同时2009年黑色链也发生了深刻的变化。
1、浏览器首页劫持产业链形成
随着政府及安全厂商的围剿,在2007年到2008年大发异彩的挂马集团已经日尽余辉。在利益的趋势下,一支新型黑色产业链逐步形成,它们风险 更低,手法更容易实现,已经成为互联网用户新型的安全威胁。
最显著的改变就是浏览器首页劫持产业链在2009年发展成型。从金山安全实验室监测到的数据来看,进入2009 年,由于对挂马类病毒的打压,挂马集团通过挂马的方式,使网友中毒的几率越来越小。这就迫使木马产业从业者不得不想尽办法,开始改变方向:欺骗下载+恶意推广+劫持浏览器入口。
从2009年4月开始,修改主页、锁定主页的病毒增速明显。到2009年年末,通过挂马传播的木马数量在整体木马传播量中的比例下降到了40% 以下。与此同时,修改主页病毒传播的比例迅速飙升到50%以上,成为木马感染网民电脑的主力渠道。
修改主页、锁定主页的病毒增速异常的背后,是木马集团盈利模式的重大转变。金山安全实验室最先披露的以“灰鸽子”为代表的制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱的黑色产业链,发展到2009年,随着金山网盾类浏览器防护工具的日益成熟,使得网站挂马成功的概率大大降低。病毒产业链里,通过购买流量实现大范围的挂马成本过于高昂(可能中招的几台电脑里得到的收益还不够支付流量费),因此浏览器首页劫持产业链成为盈利主流。据金山安全实验室反病毒专家预测, 2009年木马产业规模将超过百亿。
2、流量商成为黑色产业“大佬”
金山安全实验室反病毒专家解释,在浏览器首页劫持产业链条上,病毒制作者并不是最赚钱的,流量商是这个链条获利最大头。流量商在这个链条中处于 承上启下的作用,“就像一个产品,生产厂家的利润可能最后还没大卖场多。”
浏览器首页劫持产业链主要有以下几点组成:
产业链的三个环节
和挂马产业链相比,该产业链的技术门槛很低,浏览器劫持的生产代价非常低,广告推广的获利却巨大,投入产出比大为提高。
以2009年十大病毒中的广告木马(Win32.Troj.Agent.dv.131072)为例,该类木马挟持百度,搜狗,谷歌等著名网站, 指向病毒作者指定的服务器222.189.207.206,从而赚取流量,甚至诱导用户点击钓鱼网站。