安天实验室信息安全威胁综合分析与预测(3)

三、互联网的威胁

在这一年里中国互联网的飞速发展，全国网络已经接近2亿，平均不足10人中就有一位网民。然而在取得这一成就时，网络安全也就成了一个不可忽视的问题。

1、恶意行为威胁

在网页上挂马、强行终止杀毒软件、恶意下载站等行为，这与逐年倍增的恶意网页不无关系，今年出现的大批假冒知名网站的下载网站，用户登录后会自动下载大量病毒、木马、恶意插件。给用户带来了极大的伤害。

根据安天实验室抽样的1000个下载网站调查发现，居然有近三分之二属于恶意下载站，照此发展形式，下载行业的信誉将面临严峻挑战。

其中流行恶意行径有：

·网页挂马

在网页中加入恶意地址，使浏览的用户自动下载并运行病毒，盗取用户信息。

·恶意下载欺骗行为

用户所信任的网站或者是所需求的软件等为诱饵使用户自行下载。

·弹出广告

在用户浏览其网站的过程当中不断的弹出广告页面。

·终止杀毒软件进程，阻止登录安全网站禁用注册表等

利用脚本自动终止反病毒进程，阻止用户登录反病毒网站进行修复。

·后台下载木马病毒

自动无界面的在后台下载病毒文件的行为。

·强制安装软件无法删除

强制安装—流氓行为，并且无法卸载和删除。

·串改用户ie主页

通过各种手段试图串改用户ie浏览器的首页地址

·钓鱼网站

利用知名网站等一些诱惑信息，诱惑用户上当。

·利用新闻、流行电影制造虚假链接

近期的“艳照门”事件及流行电影如长江7号、色戒等，黑客将其绑定木马，诱惑用户点击。

2、恶意病毒威胁

07年的恶意攻击可以说是史上最有代表性的，从年初的熊猫烧香，到年中的AV终结者，到年末机器狗，攻击无数电脑，重要资料无法修复，网络游戏账户被盗，落网阻塞，重要商业机密被泄露等。

·熊猫烧香病毒

采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。病毒爆发后，千万台计算机受到病毒感染，多数企业业务停顿，直接和间接损失无法估量。

·ARP病毒

ARP地址欺骗病毒简称ARP病毒，它并不是特指某一种病毒，而是指所有包含有ARP欺骗功能的病毒总称，曾造成国内数千所高校、企业网络瘫痪，破坏力极强。

·AV终结者病毒

AV终结者利用了Windows系统中的IEFO映像机制，达到劫持杀毒软件的目的。导致很多杀软公司和用户受到损害。

·U盘病毒

一个利用U盘等移动设备进行传播的蠕虫。是针对autorun.inf这样的自动播放文件的蠕虫病毒。当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。利用病毒技术进行传播的病毒已经越来越多，几乎占病毒总体数目的30%。

·机器狗病毒

一种可轻易穿透硬盘还原卡和各类系统还原软件的木马程序，系统目录中出现小狗图标。原来电脑重启后都会自动还原，中毒后即使自动还原后木马还在，电脑运行速度极为缓慢，甚至突然蓝屏。其危害几乎遍及全国网吧。

·灰鸽子病毒

灰鸽子是一款后门，多种功能、操作多变、极强的隐藏性，利用其不易发现等特点进行肉鸡抓取。灰鸽子已不再是单指病毒，背后已经有一条制造病毒、贩卖病毒、病毒培训一体化的黑色产业链，仅从黒鸽子在网络上的被关注程度就可知道在未来的我们还有待关注。据安天统计，讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量在上万人；凤凰灰鸽子论坛有会员近五万个。

·木马下载器病毒

运行后在用户不知情的情况下后台自动下载病毒，已经成为现如今病毒传播的一个重要手段，据安天反病毒实验室统计，下载型木马在病毒传播中占有率近15 %。

3、软件漏洞威胁

下图为07年有影响漏洞：

注：相关威胁为在无相关软件安装时也同样产生的副作用。

·Web迅雷漏洞

发生在Web迅雷的一个控件，当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。

·迅雷5漏洞

迅雷5漏洞，病毒作者可利用该漏洞编写恶意网页，当用于浏览这些网页的时候，就会感染病毒，病毒可以盗窃用户的帐号和密码，使用户遭受到损失。

·暴风影音II漏洞

暴风影音II的一个activex控件上，当安装了暴风影音II的用户在浏览黑客 精心构造的包含恶意代码的网页后，会下载任意程序。

·Realplayer ActiveX控件漏洞

Realplayer ActiveX控件漏洞，远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。构建恶意页面，诱使用户使用RealPlayer 10.5访问，可导致rpau3260.dll出现问题，而使应用程序崩溃。

·超星浏览器漏洞

超星浏览器漏洞，黑客利用该漏洞制造恶意代码，用户浏览后会从制定的恶意地址下载恶意程序。

·百度超级搜霸漏洞

百度搜霸是一款浏览器工具栏，基于ActiveX控件的浏览器工具栏，提供百度公司的各种服务。属于远程代码执行漏洞，如果一个安装了百度超级搜霸的用户访问了存在恶意代码的网站，则恶意脚本就可以在远程系统中执行任意的操作命令。

·网际快车漏洞

当安装了FlashGet的用户在浏览黑客精心构造的包含恶意代码的网页后，会导致用户浏览器崩溃。利用此漏洞可以构造恶意代码。

·ACDSee插件漏洞

ACDSee所使用的ID_X.apl、IDE_ACDStd.apl、ID_PSP.ap和AM_LHA.apl插件在处理XBM/XPM/PSP/LHA文件时存在缓冲区溢出漏洞，如果用户受骗打开了带有超长字符串的XBM/XPM/PSP/LHA文件的话，就可能触发这些溢出，导致执行任意指令。

·雅虎通插件GetFile方式上传漏洞

雅虎通的CYFT ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞向用户系统上传任意文件。

CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤，远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件，但是相关的控件默认情况下不能远程调用。

·联众世界游戏大厅漏洞

联众世界的游戏大厅GLWorld安装的ActiveX控件在处理传送字符串参数时存在着溢出漏洞。当用户访问了恶意网页后就会传送了超长参数，触发溢出，导致执行任意代码。

·Pplive漏洞

pplive 1.8beat2 中的 MngModule.dll 1.7.0.2 文件，在参数调用过程中存在溢出。当用户反问特意构造的代码就会触发溢出漏洞，执行任意代码文件。

(责任编辑：李磊)

【相关文章】

安天实验室信息安全威胁综合分析与预测(1)

安天实验室信息安全威胁综合分析与预测(2)