2010年互联网信息安全威胁综合报告

2010年互联网信息安全威胁综合报告

2010年互联网信息安全威胁综合报告

安天实验室

2010年互联网信息安全威胁综合报告

安天实验室

一、 2010年恶意代码疫情统计与分析

1.1 2006-

2010年恶意代码数据对比

2010年捕获的恶意代码总量为939.7721万个，与2009年相比，增长了30%。

1.2 2010年捕获恶意代码月度统计

从每月捕获的恶意代码疫情来看，12月份疫情最为严重，达到了123.61万个，2月份疫情最低，仅有45.1861万个。

©安天实验室 版权所有 第2页 / 共30页

1.3 2010年捕获恶意代码分类统计

2010年捕获的恶意代码，其中以木马数量最多，占总比例的67%；黑客工具最少，占总比率的1%。

1.4 2010年各类恶意代码捕获数量月度统计

2010年各类恶意代码月度捕获数量最多的是木马，由于木马占有量最大，其走势曲线较为明显，其增长幅度直接影响整体的恶意代码数量。

©安天实验室 版权所有 第3页 / 共30页

1.5

2010与2009年捕获恶意代码数量分类对比

2010与2009年各类恶意代码数量对比，其中以木马数量增长速度最快，与2009年相比增长了40%。

1.6 2010年恶意代码样本按行为分类对比

2010年恶意代码样本按行为分类统计，网络游戏盗号木马排在第一位，已达到了170万个。

©安天实验室 版权所有 第4页 / 共30页

1.7 2010年各类恶意代码家族TOP10

©安天实验室 版权所有

第5页 / 共30页

2010年互联网信息安全威胁综合报告

1 2 3 4 5 6 7 8 9 10

Backdoor/Win32.Hupigon Backdoor/Win32.Agent Backdoor/Win32.Bifrose Backdoor/Win32.Poison Backdoor/Win32.Rbot Backdoor/Win32.PcClient Backdoor/Win32.Koutodoor Backdoor/Win32.Ripinip Backdoor/Win32.Udr

Backdoor/Win32.Turkojan

140159 51998 51239 34949 21335 19276 18885 18558 14178 11743

2010年蠕虫家族 Top10序号 1 2 3 4 5 6 7 8 9 10家族名称 Worm/Win32.Allaple Worm/Win32.VB Worm/Win32.VBNA Worm/Win32.Ridnu Worm/Win32.Palevo Worm/Win32.Qvod Worm/Win32.AutoRun Worm/Win32.Mabezat Worm/Win32.Runouce Worm/Win32.AutoIt数量 259777 186070 106648 62192 44732 38153 35065 34419 34399 23177

2010年感染式家族 Top10序号 1©安天实验室版权所有

家族名称 Virus/Win32.VB

数量 81667第 6页/共 30页

2010年互联网信息安全威胁综合报告

2 3 4 5 6 7 8 9 10

Virus/Win32.Virut Virus/Win32.Parite Virus/Win32.Krepper Virus/Win32.Hidrag Virus/Win32.Neshta Virus/Win32.Xorala Virus/Win32.Small Virus/Win32.Tenga Virus/Win32.HLLP

78689 44157 16200 9503 4720 4694 3926 2173 1805

2010年恶意插件家族 Top10序号 1 2 3 4 5 6 7 8 9 10家族名称 AdWare/Win32.BHO AdWare/Win32.InstantAccess AdWare/Win32.Adnur AdWare/Win32.Cinmus AdWare/Win32.Virtumonde AdWare/Win32.Agent AdWare/Win32.Hotbar AdWare/Win32.Gamevance AdWare/Win32.EZula AdWare/Win32.Zwangi数量 89791 40559 34622 10869 6479 5624 3993 3667 3631 3132

2010年黑客工具家族 Top10序号 1 2©安天实验室版权所有

家族名称 HackTool/Win32.Sniffer HackTool/Win32.Agent

数量 3473 1112第 7页/共 30页

1.8 2010年恶意代码加壳类型统计

2010年，加壳的恶意代码数量为1787176个，占样本总量的19%；而在恶意代码加壳类型对比中，UPX壳占比最大，占加壳样本总量的28%。

1.9 2010年每月恶意代码新增家族统计

2010年每月恶意代码新增家族统计中， 10月份捕获新增家族最多数量为1872个，8月份捕获的新增数量最低，只有1331个。

©安天实验室 版权所有 第8页 / 共30页

1.10 2010年恶意代码新增家族统计TOP10

©安天实验室 版权所有 第9页 / 共30页

二、 网络挂马

据安天实验室网络安全中心数据统计显示，2010年度拦截挂马网页数量612万个，相比2009年挂马数量降低了7%；恶意网站大部分来自于我国的广东地区；恶意域名方面，利用最多的是“.org”；挂马方式上，挂马者更青睐于在被挂马页面中嵌入并调用外部的JS文件，因为此方法比以框架插入方式更为隐蔽；通过访问挂马网站而非法下载的病毒文件，主要以网络游戏盗号类木马为主。

为了加快木马的传播速度，黑客盯住了那些具有高流量的网站，如猫扑、网易、新浪等大型网站在2010年都曾发生过挂马事件。挂马者不断挖掘新的漏洞，利用0Day漏洞进行挂马是黑客最喜欢的攻击手段之一，2010年出现的被应用于挂马的高危漏洞有“极光”漏洞（CVE-2010-0249）、“极风”漏洞（CVE-2010-0806）、CVE-2010-3962漏洞等，其中CVE-2010-

0806也是2010年黑客挂马利用最多的漏洞。

2.1 恶意网站统计

2010年，共拦截恶意网站612万个，与2009年相比降低了9%。

2.2 恶意网站的地域分布

2010年，纵观中国大陆地区恶意网站的地域分布，经统计大部分来自于广东省，占总比例的47%。

©安天实验室 版权所有 第10页 / 共30页

2.3 恶意网站排名TOP10

从2010年截获的恶意网站统计来看，最活跃的恶意域名如下：

©安天实验室 版权所有 第11页 / 共30页

2.4 恶意域名类型统计

根据2010年来对恶意网站域名类型统计来看，黑客利用“.org”域名最多，占总比例的80.3%；而在2009年同期，“.cn”域名利用最多，由于 2009年12月14日，中国互联网中心宣布停止对个人用户注册，该措施有效地遏制了在2010年 “.cn”域名的恶意网站增长势头。

2.5 网马利用漏洞类型统计

2010年网马漏洞利用方面，与2009年相比有较大变化，由集成漏洞转向了利用单一漏洞挂马的趋势。微软出现了3个高危0day网马漏洞，依次是微软MS10-002中修复的CVE-2010-0249漏洞、MS10

-018中修复的CVE-2010-0806、MS10-090中修复的CVE-2010-3962，其中的CVE-2010-0806是挂马者最常用的漏洞。

©安天实验室 版权所有 第12页 / 共30页

2.6 利用网马传播的木马排名TOP10

经统计，2010年通过挂马网站传播的木马，主要以网游盗号类木马居多，可见挂马者目的性很强，纯粹为了利益，其次是木马下载器、“点击器”等木马。

©安天实验室 版权所有 第13页 / 共30页

2.7 2010年挂马网站类型统计

挂马在不同类型的网站占比也是不同的，2010年挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为35%，游戏网站占比22%排在第二位。这两类网站关注范围大，点击次数多，直接促使网马的占比提升。

2.8 2010年知名网站挂马TOP10

知名网站因为访问流量大，这一点正是被黑客看重的原因，一旦知名网站被挂马，那么木马的传播量与传播速度则会相当惊人。以下是2010年最具有影响力的挂马网站排名TOP10。

©安天实验室 版权所有

第14页 / 共30页

2.9 2010年政府网站挂马TOP10

政府网站是向全社会宣传和展示政府形象的平台，由于一些政府网站网络安全方面做的相对薄弱，因此屡遭挂马攻击，网民们愿意相信政府网站是安全可信任的，由此频繁访问被挂马的政府网站也导致了木马快速的传播，以下是2010年政府网站挂马TOP10。

第15页 / 共30页

©安天实验室 版权所有

2.10 2010年高校网站挂马TOP10

高校是芸芸学子向往的地方，然而高校网站的网络安全环境却另人堪忧，每年都有众多慕名访问“XX知名大学”而不幸中马的用户，以下是2010年高校挂马排名TOP10。

©安天实验室 版权所有

第16页 / 共30页

2.11 2010年出现的网马及事件追踪

2.11.1 “极光”漏洞

2010年1月14日，微软官方发布安全通报979352，CVE编号为CVE-2010-0249，代号为“Aurora”，此漏洞涉及到IE6、IE7、IE8，21日微软在安全公告上发布的MS10-002修复了这一高危漏洞。 典型案例：2010年1月20日，搜捕论坛(http://www.77cn.com.cn/)被挂马，黑客利用的便是MS10-002漏洞。

2.11.2 “极风”漏洞

2010年3月9日，微软官方发布安全通报981374，CVE编号为CVE-2010-0806，此漏洞涉及到

IE6、IE7、IE8，30日微软在安全公告上发布的MS10-018修复了这一高危漏洞。

典型案例：2010年3月24日，沈阳公安交警信息网(http://www.77cn.com.cn/)被挂马，黑客利用的便是MS10-018漏洞。

©安天实验室 版权所有 第17页 / 共30页

2.11.3 Adobe Flash Player漏洞

2010年6月4日，Adobe公司旗下的Adobe Flash Player、Adobe Reader 、Acrobat爆出0day漏洞，CVE编号为CVE-2010-1297，Adobe已经确定Adobe Flash Player 10.0.45.2

或更早的版本存在漏洞，安装Adobe Reader and Acrobat 9.x版本的Windows，此漏洞可能引起崩溃并且允许远程攻击者控制受影响的系统。 典型案例：2010年6月10日，长安大学（http://www.77cn.com.cn/dede/coimg/100.html）被挂马，黑客利用的便是Adobe Flash Player漏洞（CVE-2010-1297）。

©安天实验室 版权所有 第18页 / 共30页

2.11.4 CVE-2010-3962漏洞

2010年11月3日，微软官方发布安全通报2458511，此漏洞CVE编号为CVE-2010-3962，涉及到IE6、IE7、IE8，12月14日微软在安全公告上发布的MS10

-090修复了这一高危漏洞。

案例分析： 2010年11月24日，中国电影资料馆（http://www.77cn.com.cn/dwfwzn/dz）页面被挂马，黑客利用的便是MS10-090漏洞（CVE-2010-3962）。

©安天实验室 版权所有 第19页 / 共30页

本文来源：https://www.bwwdw.com/article/464i.html