|
|
|
 |
|
卡巴斯基安全報(bào)告:惡意軟件近三成來自中國
|
|
來源:安全中國 2007-12-17 11:51:04
|
|
12月13日,卡巴斯基發(fā)布2007年上半年報(bào)告,根據(jù)巴斯基實(shí)驗(yàn)室2007年上半年的追蹤惡意網(wǎng)站及惡意軟件(通過網(wǎng)站傳播)報(bào)告中顯示,近幾年,惡意軟件傳播方法已經(jīng)發(fā)生了變化,從固定的介質(zhì)(硬盤)轉(zhuǎn)向郵件傳播(如聲名狼藉的愛蟲郵件)以及直接的網(wǎng)絡(luò)攻擊(如紅色代碼)。如今惡意軟件最新的發(fā)展是通過萬維網(wǎng)傳播。 基于網(wǎng)頁的惡意軟件快速增長(zhǎng)有很多因素,其中一個(gè)原因是由于在2003到2006年發(fā)現(xiàn)了微軟IE存在大量漏洞。另外一個(gè)原因是由于大多數(shù)反病毒引擎和訪問網(wǎng)頁的方式在理念和設(shè)計(jì)上不兼容,因?yàn)榇蠖鄶?shù)反病毒引擎需要拷貝整個(gè)文件來檢測(cè)是否感染病毒,這就會(huì)在掃描類似網(wǎng)頁流文件時(shí)發(fā)生問題。當(dāng)然,此問題可通過代理層方案解決,先高速下載流量,下載完畢后便會(huì)將其傳至反病毒引擎,然而,這種方式也不是很普及。 基于網(wǎng)頁的惡意軟件快速增長(zhǎng)的另外一個(gè)因素或許是因?yàn)槠髨D阻止電子郵件中的可執(zhí)行格式附件。早在2003年和2004年,大多數(shù)惡意軟件通過電子郵件傳播(如.EXE/.SCR/.PIF文件等),許多系統(tǒng)管理員決定完全禁止電子郵件中的可執(zhí)行格式文件,這樣做的直接結(jié)果就是惡意軟件作者開始使用壓縮文件傳播-如ZIP文件。早在2006年,包含漏洞的微軟Office文件也是惡意軟件傳播的載體。 惡意軟件作者想到了一個(gè)簡(jiǎn)單的方法來解決這個(gè)問題:他們放棄電子郵件來發(fā)送惡意軟件主程序,而開始發(fā)送包含惡意程序的網(wǎng)站鏈接地址。因?yàn)猷]件網(wǎng)關(guān)僅過濾郵件正文,不可能檢測(cè)在郵件中是否鏈接惡意網(wǎng)站,利用這種手段可以達(dá)到目的。 惡意軟件來自哪里呢?要回答這個(gè)問題,很有必要來回顧一下黑客操縱惡意軟件的解決方案。 今天已經(jīng)發(fā)現(xiàn)了大量猖獗的惡意軟件,他們的傳播方式很多。可以在入侵的家庭計(jì)算機(jī)上發(fā)現(xiàn)其蹤影,他們通過運(yùn)行少量http服務(wù)的計(jì)算機(jī)的僵尸入侵計(jì)算機(jī)并將其變?yōu)閭鞑c(diǎn)。也可以在一些被黑客攻擊的ISPS網(wǎng)站上發(fā)現(xiàn)。這對(duì)于提供給用戶免費(fèi)網(wǎng)頁空間來建立自己的網(wǎng)站是常見的選擇。 也有一些情況是使用偷竊來的信用卡去合法網(wǎng)絡(luò)提供商那里購買域名和主機(jī)資源,目的是傳播惡意軟件。 今年早些時(shí)候,一個(gè)中等規(guī)模的托管公司遭受了黑客的攻擊,黑客利用控制面板版本的漏洞獲得了托管在該公司服務(wù)器上所有帳號(hào)權(quán)限,該攻擊者檢查了入侵計(jì)算機(jī)上的所有網(wǎng)站的主頁,利用IE漏洞加入了一小段腳本語言,黑客還安裝了惡意軟件,包含隱藏程序。在類似攻擊事件中,二月份超級(jí)杯海豚體育場(chǎng)網(wǎng)站被黑客攻擊,在網(wǎng)頁源代碼中注入了漏洞。或許近期出現(xiàn)的是印度銀行網(wǎng)站被攻擊事件,該事件發(fā)生在2007年8月底,在這次攻擊中,主頁代碼被修改,在其中加入了一個(gè)IEE漏洞,這樣可以進(jìn)一步有利于惡意軟件傳播。 以下為使用Akross系統(tǒng)檢測(cè)到的傳播惡意軟件IP地址地理分布圖: 排名 國家及地區(qū) 百分比 1. 中國 31.44 2. 美國 25.90 3. 俄國 11.05 4. 巴西 4.40 5. 南韓 3.64 6. 阿根廷 2.90 7. 德國 2.31 8. 法國 1.70 9. 巴拿馬 1.53 10. 荷蘭 1.31 11. 烏克蘭 1.26 12. 加拿大 1.24 13. 西班牙 1.15 14. 英國 1.15 15. 香港特別行政區(qū) 0.83 16. 意大利 0.72 17. 葡萄牙 0.70 18. 羅馬尼亞 0.68 19. 臺(tái)灣省 0.65 20. 馬來西亞 0.52 前20位惡意軟件來源國家及地區(qū) 中國以31.44%的惡意網(wǎng)站數(shù)量居排行榜首位,美國以25.90%緊鄰其后,這些國家在近幾年相關(guān)的惡意軟件統(tǒng)計(jì)中幾乎一直占主導(dǎo)地位,要改變排名先后取決于惡意軟件編寫的趨勢(shì)和操作系統(tǒng)的發(fā)展,十分有趣的是,在中國最流行的惡意軟件載體是被黑網(wǎng)站和所謂的“防彈主機(jī)”,在美國,主要是被黑客攻擊“.com”網(wǎng)站和一些利用竊取的信用卡購買到的合法主機(jī)資源。俄羅斯和巴西占據(jù)第三和第四位。這些國家情況類似,因?yàn)榇蠖鄶?shù)惡意程序托管在“免費(fèi)主機(jī)資源”中,網(wǎng)絡(luò)服務(wù)提供商為用戶提供機(jī)會(huì)可以向計(jì)算機(jī)上傳自己的網(wǎng)站。 隨著惡意程序傳播方法的不斷變化,可以預(yù)料惡意程序的作者將繼續(xù)構(gòu)思感染計(jì)算機(jī)的新方式。現(xiàn)有的傾向包括通過P2P網(wǎng)絡(luò)傳播或通過自由軟件傳播。 毫無疑問,在這種情況下,網(wǎng)絡(luò)成為惡意程序作者首選的傳播媒介,并且這種傳播方法在2007年五月似乎達(dá)到了高峰。不過從那以后,新的惡意網(wǎng)站的數(shù)量在某種程度上有所下降。盡管這是個(gè)好消息,但每天仍然有很多新的惡意網(wǎng)站出現(xiàn),誘惑用戶的社會(huì)工程學(xué)技術(shù)或攻擊程序變得越來越復(fù)雜。 中國和美國是惡意網(wǎng)站數(shù)量的兩大巨頭,盡管上述兩國的政府做了最大的努力。惡意網(wǎng)站仍然盛行。雖然美國有能力在48小時(shí)內(nèi)關(guān)閉包含惡意網(wǎng)站,但中國卻并非如此。我們都知道,惡意網(wǎng)站在中國已經(jīng)肆虐一年之余,所有關(guān)閉包含的惡意網(wǎng)站的努力都以失敗而告終。在這種情況下,越來越多的惡意網(wǎng)站將會(huì)在中國落戶,所以中國正在成為惡意程序滋生的溫床。 本篇文章來源于 安全中國-全球最大中文黑客門戶 |
