安天實驗室信息安全威脅綜合分析與預測(3)

三、互聯網的威脅

在這一年裡中國互聯網的飛速發展，全國網絡已經接近2億，平均不足10人中就有一位網民。然而在取得這一成就時，網絡安全也就成了一個不可忽視的問題。

1、惡意行為威脅

在網頁上掛馬、強行終止殺毒軟體、惡意下載站等行為，這與逐年倍增的惡意網頁不無關係，今年出現的大批假冒知名網站的下載網站，用戶登錄後會自動下載大量病毒、木馬、惡意插件。給用戶帶來了極大的傷害。

根據安天實驗室抽樣的1000個下載網站調查發現，居然有近三分之二屬於惡意下載站，照此發展形式，下載行業的信譽將面臨嚴峻挑戰。

其中流行惡意行徑有：

・網頁掛馬

在網頁中加入惡意地址，使瀏覽的用戶自動下載並運行病毒，盜取用戶信息。

・惡意下載欺騙行為

用戶所信任的網站或者是所需求的軟體等為誘餌使用戶自行下載。

・彈出廣告

在用戶瀏覽其網站的過程當中不斷的彈出廣告頁面。

・終止殺毒軟體進程，阻止登錄安全網站禁用註冊表等

利用腳本自動終止反病毒進程，阻止用戶登錄反病毒網站進行修復。

・後台下載木馬病毒

自動無界面的在後台下載病毒文件的行為。

・強制安裝軟體無法刪除

強制安裝－流氓行為，並且無法卸載和刪除。

・串改用戶ie主頁

通過各種手段試圖串改用戶ie瀏覽器的首頁地址

・釣魚網站

利用知名網站等一些誘惑信息，誘惑用戶上當。

・利用新聞、流行電影製造虛假鏈接

近期的「艷照門」事件及流行電影如長江7號、色戒等，黑客將其綁定木馬，誘惑用戶點擊。

2、惡意病毒威脅

07年的惡意攻擊可以說是史上最有代表性的，從年初的熊貓燒香，到年中的AV終結者，到年末機器狗，攻擊無數電腦，重要資料無法修復，網絡遊戲賬戶被盜，落網阻塞，重要商業機密被洩露等。

・熊貓燒香病毒

採用「熊貓燒香」頭像作為圖標。它的變種會感染EXE可執行文件，被病毒感染的文件圖標均變為「熊貓燒香」。同時，受感染的計算機還會出現藍屏、頻繁重啟以及文件被破壞等現象。該病毒會在中毒電腦中所有的網頁文件尾部添加病毒代碼。病毒爆發後，千萬台計算機受到病毒感染，多數企業業務停頓，直接和間接損失無法估量。

・ARP病毒

ARP地址欺騙病毒簡稱ARP病毒，它並不是特指某一種病毒，而是指所有包含有ARP欺騙功能的病毒總稱，曾造成國內數千所高校、企業網絡癱瘓，破壞力極強。

・AV終結者病毒

AV終結者利用了Windows系統中的IEFO映像機制，達到劫持殺毒軟體的目的。導致很多殺軟公司和用戶受到損害。

・USB隨身碟病毒

一個利用USB隨身碟等移動設備進行傳播的蠕蟲。是針對autorun.inf這樣的自動播放文件的蠕蟲病毒。當用戶雙擊USB隨身碟等設備的時候，該文件就會利用Windows系統的自動播放功能優先運行autorun.inf文件，而該文件就會立即執行所要加載的病毒程序，從而破壞用戶計算機，使用戶計算機遭受損失。利用病毒技術進行傳播的病毒已經越來越多，幾乎占病毒總體數目的30%。

・機器狗病毒

一種可輕易穿透硬碟還原卡和各類系統還原軟體的木馬程序，系統目錄中出現小狗圖標。原來電腦重啟後都會自動還原，中毒後即使自動還原後木馬還在，電腦運行速度極為緩慢，甚至突然藍屏。其危害幾乎遍及全國網吧。

・灰鴿子病毒

灰鴿子是一款後門，多種功能、操作多變、極強的隱藏性，利用其不易發現等特點進行肉雞抓取。灰鴿子已不再是單指病毒，背後已經有一條製造病毒、販賣病毒、病毒培訓一體化的黑色產業鏈，僅從鴿子在網絡上的被關注程度就可知道在未來的我們還有待關注。據安天統計，討論灰鴿子的論壇有數十個之多。其中灰鴿子工作室每天的瀏覽量在上萬人；鳳凰灰鴿子論壇有會員近五萬個。

・木馬下載器病毒

運行後在用戶不知情的情況下後台自動下載病毒，已經成為現如今病毒傳播的一個重要手段，據安天反病毒實驗室統計，下載型木馬在病毒傳播中佔有率近15 %。

3、軟體漏洞威脅

下圖為07年有影響漏洞：

註：相關威脅為在無相關軟體安裝時也同樣產生的副作用。

・Web迅雷漏洞

發生在Web迅雷的一個控件，當安裝了Web迅雷的用戶在瀏覽黑客精心構造的包含惡意代碼的網頁後，會下載任意程序在用戶系統上以當前用戶上下文權限運行。

・迅雷5漏洞

迅雷5漏洞，病毒作者可利用該漏洞編寫惡意網頁，當用於瀏覽這些網頁的時候，就會感染病毒，病毒可以盜竊用戶的帳號和密碼，使用戶遭受到損失。

・暴風影音II漏洞

暴風影音II的一個activex控件上，當安裝了暴風影音II的用戶在瀏覽黑客 精心構造的包含惡意代碼的網頁後，會下載任意程序。

・Realplayer ActiveX控件漏洞

Realplayer ActiveX控件漏洞，遠程攻擊者可以利用漏洞對應用程序進行拒絕服務攻擊。構建惡意頁面，誘使用戶使用RealPlayer 10.5訪問，可導致rpau3260.dll出現問題，而使應用程序崩潰。

・超星瀏覽器漏洞

超星瀏覽器漏洞，黑客利用該漏洞製造惡意代碼，用戶瀏覽後會從制定的惡意地址下載惡意程序。

・百度超級搜霸漏洞

百度搜霸是一款瀏覽器工具欄，基於ActiveX控件的瀏覽器工具欄，提供百度公司的各種服務。屬於遠程代碼執行漏洞，如果一個安裝了百度超級搜霸的用戶訪問了存在惡意代碼的網站，則惡意腳本就可以在遠程系統中執行任意的操作命令。

・網際快車漏洞

當安裝了FlashGet的用戶在瀏覽黑客精心構造的包含惡意代碼的網頁後，會導致用戶瀏覽器崩潰。利用此漏洞可以構造惡意代碼。

・ACDSee插件漏洞

ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在處理XBM/XPM/PSP/LHA文件時存在緩衝區溢出漏洞，如果用戶受騙打開了帶有超長字符串的XBM/XPM/PSP/LHA文件的話，就可能觸發這些溢出，導致執行任意指令。

・雅虎通插件GetFile方式上傳漏洞

雅虎通的CYFT ActiveX控件實現上存在漏洞，遠程攻擊者可能利用此漏洞向用戶系統上傳任意文件。

CYFT ActiveX控件的GetFile()方式沒有對用戶提交的參數做充分的檢查過濾，遠程攻擊者可以通過提供畸形參數向用戶系統的任意位置上傳任意文件，但是相關的控件默認情況下不能遠程調用。

・聯眾世界遊戲大廳漏洞

聯眾世界的遊戲大廳GLWorld安裝的ActiveX控件在處理傳送字符串參數時存在著溢出漏洞。當用戶訪問了惡意網頁後就會傳送了超長參數，觸發溢出，導致執行任意代碼。

・Pplive漏洞

pplive 1.8beat2 中的 MngModule.dll 1.7.0.2 文件，在參數調用過程中存在溢出。當用戶反問特意構造的代碼就會觸發溢出漏洞，執行任意代碼文件。

(