2010年上半年中国大陆地区网络安全报告安天实验室2010年7月5日摘要据安天实验室网络安全中心数据统计显示,2010年上半年共拦截恶意网站4,613,000个,相比2009年同期有较大提升;网马服务器主要集中在中国的广东、江苏等地;恶意域名方面,利用最多的当属“.org”;通过访问挂马网站下载的病毒文件,主要以网络游戏盗号类木马为主。挂马网站是传播木马的主要途径,在黑色产业链经济利益的驱动下,为提高挂马命中率,黑客不断挖掘新的漏洞,例如:2010年上半年出现的比较流行的网马漏洞有“极光”漏洞(MS10-002)、MS10-018漏洞(CVE-2010-0806)、FLASH漏洞(CVE-2010-1297)等,已经广泛应用于挂马中。每一次热点事件爆发时,黑客便趁机利用,有针对性的进行挂马,以增加网马的受众面,典型的如高考期间,全国各大院校纷纷被黑客挂马。为了加快网马的传播速度,黑客盯住了那些高流量的网站,如猫扑、58同城等大型网站均有挂马事件的发生。杀毒软件在与网马不断地斗争中逐渐成熟,黑客也从未停歇前进的脚步,不断采取新的防检测手段,用来防止杀毒软件对网马的检测。目录第1章2010年上半年挂马数据统计........................................................................................21.1挂马网站统计.........................................................................................................................21.2恶意网站的地域分布.............................................................................................................21.3恶意网站统计.........................................................................................................................31.4域名利用情况.........................................................................................................................41.5网马漏洞利用情况.................................................................................................................41.6利用网马传播的木马.............................................................................................................51.7挂马网站分类对比.................................................................................................................61.82010年上半年大站挂马........................................................................................................61.92010年上半年高校挂马........................................................................................................7第2章2010年上半年出现的网马及事件追踪.........................................................................82.1MS10-002漏洞........................................................................................................................82.2MS10-018漏洞........................................................................................................................82.3ADOBEFLASHPLAYER、ADOBEREADER、ACROBAT漏洞................................................................9第3章网马反检测手段..............................................................................................................103.1反侦察...................................................................................................................................103.2网马中含有“木马”解密代码............................................................................................13第4章搜索引擎已成为网马传播的主要途径............................................................................15第5章2010年下半年恶意网站趋势预测..............................................................................17文档名称2010年上半年中国大陆地区网络安全报告文档版本-日期2010/07/05电子邮件||info@antiy.net安天网站||第1章2010年上半年挂马数据统计1.1挂马网站统计2010年上半年共拦截恶意网站4,613,000个,以4月拦截最多784,000个。因为挂马网站访问量的大小会直接导致中木马机率的高低,所以选择流量大的网站挂马已成为新的趋势。在统计中可以看出,2月份挂马数量增长明显,在4月高峰期后,渐渐表现出回落趋势。图12010年上半年共拦截恶意网站1.2恶意网站的地域分布2010年上半年,纵观中国大陆地区恶意网站的地域分布,经统计大部分来自于广东省,占总比例的11%;其次是江苏、湖南等地,也占了不少份额;北京,由于特殊的地位,紧随其后,占了总比例的6%;其他省、直辖市占了总比例的21%。文档名称2010年上半年中国大陆地区网络安全报告文档版本-日期2010/07/05电子邮件||info@antiy.net安天网站||图2恶意网站的地域分布1.3恶意网站统计2010年上半年,对截获的恶意网站统计来看,顶级域名以“.org”为主。在统计恶意域名Top10时,发现40%的恶意网站集中在我国的广东地区。排名恶意域名1annil.8866.org2a.ppmmoo.cn3vod123.8866.org4cptiandi.com5web.nba1001.net6ferrari10.7766.org7ada.bij.pl8aa44.qq66.in9rezervzv.ru10aan.osa.pl表格1恶意网站统计恶意域名有着时效性,挂马者会经常更换恶意域名,为了防止安全厂商将其收录为黑名单后,以减小网马的传播范围;或是有关机关将其封杀,以阻断它的传播。文档名称2010年上半年中国大陆地区网络安全报告文档版本-日期2010/07/05电子邮件||info@antiy.net安天网站||域名利用情况根据2010年上半年来对挂马网站域名类型统计来看,“.org”域名被黑客利用最多,居其首位,“.cn”其次。恶意网站的存活时间是有限的,黑客为了降低成本,会有选择性的选择价格低廉的域名。图3恶意网域名类型对比1.5网马漏洞利用情况纵观2010年上半年网马漏洞利用方面,与2009年相比有较大变化,由集成网马转向了利用单一漏洞挂马,为了增加挂马的成功率,老漏洞很少出现在挂马利用上,而且更新迭代较快。“极光”漏洞(MS10-002)的出现,受到挂马者的青睐,不过也只是风靡一时,当MS10-018(CVE-2010-0806)出现时,又使挂马者的目光转向了它,也是当前挂马者主要利用的漏洞。文档名称2010年上半年中国大陆地区网络安全报告文档版本-日期2010/07/05电子邮件||info@antiy.net安天网站||图4网马利用漏洞对比图1.6利用网马传播的木马木马传播的途径有很多,可以利用U盘,电子邮件、通讯软件等途径进行传播,然而利用最多而且最有效的就是利用挂马网站进行传播;经统计,2010年上半年通过挂马网站传播的木马,主要以网游盗号类木马居多,其次是木马下载器、后门类病毒程序,可见挂马者目的性很强,纯粹为了金钱利益。排名病毒名1Trojan/Win32.OnLineGames.uszg[GameThief]2Trojan/Win32.OnLineGames.bkzl[GameThief]3Trojan/Win32.OnLineGames.bkxt[GameThief]4Trojan/Win32.OnLineGames.bnkb[GameThief]5Trojan/Win32.WOW.ipf[GameThief]6Trojan/Win32.OnLineGames.bnjy[GameThief]7Trojan/Win32.Geral.hwx[Downloader]8Trojan/Win32.QQPass.ufz[Stealer]9Trojan/Win32.VB.efc[Clicker]10Backdoor/Win32.Agent.tnr表格2木马排名文档名称2010年上半年中国大陆地区网络安全报告文档版本-日期2010/07/05电子邮件||info@antiy.net安天网站||挂马网站分类对比挂马在不同类的网站占比也是不同的,在2010年上半年被挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为25%,游戏网站占比17%排在第二位。这两类网站人们关注范围大,点击次数多,直接促使网马的占比提升。图5挂马网站分类对比1.82010年上半年大站挂马下面是2010年上半年最具有影响力的挂马网站,知名网站的流量大,正是挂马者最看重的原因。一旦对知名网站挂马成功,那么木马的传播量与传播速度则会相当惊人。以下是上半年大站挂马排名TOP10。发现时间被挂马网站链接2010-01-20博客大巴北方新闻网