主要研究成果

　　远程设备的快速增加使得保护企业网络更加困难。但是各种工具并未消失。IT 人员需要将安全性扩展到用户所到的任何地方。

　　最近的悲剧继续吸引着诈骗犯。地震和其他灾难对网络犯罪分子来说是赚钱机会。

　　垃圾邮件在 2009 年经历一番起伏之后，数量又回落到 2008 年中期的水平。通过从我们在全世界的垃圾邮件收集人员处提取数据，我们给出了 34 个国家/地区最流行垃圾邮件主题的图解。

　　某些地区的恶意软件增长似乎呈平稳或下降趋势，但累计数量仍然极大。我们预计今年载入目录的恶意软件数量至少与 2009 年一样多。

　　操作 Aurora 是 Internet 历史上最重要的针对性攻击之一。Aurora 可能会在今后几年对针对企业的网络犯罪意识产生深远影响。

　　春季是纳税时间， 税务局诈骗也随之滋长。 有些诈骗看起来令人信服， 似乎像合法银行和国家税务机构。操纵搜索结果可以通过虚假安全软件带来网络犯罪收入，以及从通过点击欺诈获得广告收入。

　　Zeus 特洛伊木马只是网络犯罪分子的主要工具之一，他们往往将密码窃取程序与其他类型的非法在线材料(如色情内容和虚假安全软件)绑定在一起。这些攻击的主要目标是什么呢?是 Facebook 用户。

　　几乎所有被 McAfee 的 TrustedSource 技术评为恶意 URL 的 URL 都位于美国。恶意软件分发者喜欢使用 Web 2.0 功能，而这些功能在美国非常普遍。

　　客户端上最流行的攻击(包括操作 Aurora)针对 Microsoft Internet Explorer 和 Adobe Reader 以及 Acrobat。

　　司法系统抓获了若干网络犯罪分子，涉及从信用卡号码盗窃到非法购买和销售音乐会及运动会门票的案例。

　　最流行的网络犯罪类型之一是假冒安全软件或虚假安全软件。这些诈骗软件在看不见的情况下安装，诱使用户相信其系统已被感染，必须立即购买某个工具来消除感染。虚假安全软件开发者从受害者那里赚取了大量的金钱。

　　政治黑客行为仍在继续 ：黑客中断了某俄罗斯杂志、拉脱维亚税务局和澳大利亚政府网站的服务或篡改了其网站。

　　技术进步是否会威胁网络安全?

　　您是否注意到高科技产品发布往往造成大量的喧嚣?据说是要使我们的工作更高效和使我们的生活更有乐趣的新工具争夺着我们的注意力和金钱。希望事半功倍、 摆脱地点束缚和更有乐趣地保持连接吗?赶快注册吧!

　　企业网络的边界早已扩展到办公室和数据中心之外， 现在仅受到员工地理位置分散的限制。换句话说，您的员工在何处，您的网络就扩展到何处。技术和连接功能的进步使这种扩展高速地进行，IT 部门不堪重负，精疲力尽地设法跟上变化，同时又要对连接到网络的设备保持一定的控制。高管们购买最酷的工具使得这种快节奏更难以驾驭，当他们的新“玩具”无法连接到网络时，往往指责 IT 人员。

　　员工带入企业的每个新设备都为威胁打开了从内部进入网络的新途径。谨慎的公司对阻止外部威胁进行了大量投资。许多广泛传播的攻击很容易在成为网络威胁之前加以识别和阻止。这些保护措施导致网络犯罪分子设法从防御不是太强的内部渗透网络。在许多情况下， 黑客会攻击安全链的最薄弱环节，也就是用户。操作 Aurora 就是可能导致宝贵知识财产丢失的主要用户攻击示例 ;它一月上了新闻头条，并将继续如此，因为更多公司会认识到他们也可能受到了 Aurora 式攻击的危害。

　　用户的工作网络与家庭网络之间经常共享各种形状和大小的设备;家庭网络的安全控制一般远没有公司网络严格。这种在家里的宽松使得家庭网络感染得以进入办公室，并威胁到公司网络及其数据的安全。让技术为员工服务可以提高工作效率并提高工作场所满意度，但是如果您没有控制公司数据及其在网络内外的移动方式，则务必要认识到这样做对您企业的潜在风险。

　　悲剧会暴露人性丑恶的一面

　　没有什么比灾难更能让人们团结起来共同行善。发生危机时， 全世界的人们将联合起来帮助由于地震、飓风、食品或其他事件而失去一切的陌生人。看到这样慷慨的支援，这是人性本质向善的确凿证明。

　　遗憾的是，尽管此类事件激起了人们的善举，但是在 Internet 安全领域，我们看到了一些由这些悲剧产生的恶行，尤其是利用这种高尚人文精神的网络犯罪分子。他们试图利用全世界充满爱心的人们的好意，使用钓鱼诈骗来窃取他们的资金和身份。诈骗行为声称是合法救助工作，其目标是帮助那些受难者。

　　最近的海地地震就暴露了此类犯罪行为。在第一次恐怖的强震袭击这个贫穷的岛国之后不久，救援工作开始蜂拥而入，诈骗也开始蠢蠢欲动。发送给轻信的受害者的电子邮件请求向欺诈目标帐户捐款。

　　乍看之下，这些受捐帐户似乎像关心海地人民的高尚机构，但实际上，如果您通过这些“服务”进行捐 赠，您的钱永远到不了预期受捐者手中。在图 1 中，您会注意到其中强烈建议捐款 1000 英镑(折合人民币约 10144 元)以上，并且应该直接通过电汇服务进行捐赠。

　　当然，并非所有救助服务都是欺诈。许多合法服务机构会确保您的捐款得到合理利用，并直接用于帮助受害者。关键在于您自己要注意研究， 并且仅与在适当处理救助资金方面声誉卓著的服务机构合作。在回应任何通过电子邮件要钱的请求时务必警惕，您要采取一些重要步骤来保护您的在线身份。

　　垃圾邮件数量回落到 2008 年中期水平

　　垃圾邮件数量在 2009 年第四季度与当前季度之间保持相对稳定，仅增加约 5%。在一月到三月之间，垃圾邮件流量平均约为每天 1390 亿封，占所有电子邮件流量的 89%。在前一个季度中，每天的垃圾邮件数量为 1330 亿封。

　　正如我们在《迈克菲威胁报告 ：2009 年第四季度》中所预测的，去年末我们看到垃圾邮件数量减少 24% 的现象只是昙花一现。 在 2009 年中期达到创纪录的峰值(垃圾邮件流量平均达到每天 1750 亿封)后，数量已回落到 2008 年中期的水平，与该年 11 月关闭 McColo 垃圾邮件托管提供商之前的水平相当。

　　性药和男性增强方面的邮件构成了本季度垃圾邮件的绝大部分，占垃圾邮件流量的 71% 以上。包含通用信息的电子邮件远远地排在第二位，仅占垃圾邮件流量的 10%。兜售教育或学位以及个人广告的垃圾邮件分别不到 2%。

　　全世界的垃圾邮件趋势

　　迈克菲在全球拥有许多节点，负责收集我们用于观察垃圾邮件趋势的邮件流数据。通过密切研究此数据，我们可以确定某些类型的垃圾邮件来自什么国家 / 地区。比较此来自不同地理位置的原始数据非常困难，但是我们可以清楚了解来自各个国家 / 地区的最常见垃圾邮件类型。垃圾邮件的主题往往涉及到那些国家 / 地区的人们所关心的问题。

　　在本部分中，我们将介绍一系列饼图，说明来自 34 个国家/ 地区的最流行垃圾邮件类型。我们还将对饼图中出现的垃圾邮件类型进行归类和说明。这些集合并不代表源自某个国家/地区的所有垃圾邮件，仅为最流行的类型。

　　按数量计算，这些归类的邮件占该地区收集的所有数据的 40% 到 70% 不等。我们在考虑中排除了个人邮件、一般通信和数量低的垃圾邮件活动。这些结果放在此处是有意义的，但它们并不代表源自各个国家/地区的邮件类型的全面概况。

　　我们选择了 20 个常见类别来对这些垃圾邮件分类。各类别的简要描述如下 ：419 诈骗(预先付费诈骗)：一种信心游戏，其中某人试图向由于悲剧故事或奖金承诺而愿意付出的受害者骗取金钱。此类诡计一般附带某些看起来很正式的文件。这些类型的邮件往往来自提供免费电子邮件帐户的主机，但我们也看到这些邮件来自被感染主机的趋势正在上升。

　　彩票 ：您的电子邮件地址已从我们的数据库中随机选中获得现金大奖，您只需给我们发送 3000 美元即可完成奖金领取事宜。这是另一种形式的信心诈骗。

　　产品 ：任何试图销售制成品(一般为仿制皮包或珠宝)的未经请求的垃圾邮件。这些邮件不是来自合法公司，往往与僵尸网络活动相关。

　　成人用品 ： 推销色情内容(一般为 DVD 电影或下载网站)的垃圾邮件。按数量来计算，色情内容在垃圾邮件中所占的比率并没有大多数人想象的那么大，但是一封色情电子邮件对收件人的影响却比其他类型的垃圾邮件高一个数量级，并且其产生申诉的概率仍然更高。

　　第三方 ： 这些邮件介于营销和产品垃圾邮件之间。此类垃圾邮件的一方是合法公司，收件人可能无意中选择了允许合作伙伴广告商向他们发送电子邮件。电子邮件列表也可能购自即将倒闭的企业，或在某些情况下隐私声明允许公司出售客户电子邮件地址。免费 T 恤、保险推荐和医疗设备全都是常见的示例。这些垃圾邮件往往发自国外的托管机构，使得人们更难申诉。此类垃圾邮件制造者会表面遵守 CAN-SPAM 法案条款，同时通过使用匿名域、格式错误或拼写错误的单词以及嵌入式隐藏文本块来完全掩饰其意图。

　　赌博 ：这些电子邮件宣传在线赌博。它们往往与僵尸网络活动相关，并要求受害者下载和安装软件才能玩游戏。

　　恶意软件 ：带病毒或特洛伊木马附件或敦促您访问被感染网站的任何东西。常见的示例包括“UPS 跟踪编号”和“Con?cker.B 感染警报” 。

　　发送状态通知 (DSN) ：也称为“未送达回执” 。这些邮件可能是合法的，但一般是弹回到某个伪造“发件人”地址的垃圾邮件。较高比率的发送状态通知邮件可能表明有大量单独维护的电子邮件服务器。

　　工作机会 ：大多是 419 诈骗或信心诈骗的形式。它们掠夺失业或就业不足的人，通过支票欺诈或诱使他们洗钱或执行合法性存疑的活动来骗取他们的钱财。

　　股票 ： “拉高出货”(pump and dump) 股票操纵机制的一部分。某人购买低价垃圾股，然后发出许多垃圾邮件造成虚假需求，从而使垃圾邮件制造者高价卖出股票获利。

　　寂寞女人 ：通常采用信心诈骗的形式。犯罪分子(也许是假装为女性的男性)试图通过银行帐户从受害者处获取与该笨蛋“约会”所需的机票、海关、食物、旅行或其他开支的钱。俄罗斯新娘垃圾邮件是其中最常见的形式。

　　简讯 ：收件人注册接收的一种信息型电子邮件。简讯也许不直接销售产品，但是往往用煽情的措辞和闪烁文本来敦促客户。示例包括来自新闻公司的警报或来自讨论列表的更新。

　　名单 ： 提供联系人名单，如您所在区域的医生名单或牙医名单。

　　软件 ：试图将原始设备制造商 (OEM) 许可证作为单独许可证出售，或试图以大幅打折的价格出售软件的破解副本。

　　社交网站 (SNS) ：由社交网站生成并发送给订阅者。此类网站往往向某个用户的整个通讯薄发送未经请

　　求的电子邮件，一般不会向订阅者发出警报。尽管此类垃圾邮件式的行为不受欢迎，但我们的数据收

　　集并没有对请求或未经请求的社交电子邮件进行区分。

　　网络钓鱼 ：任何开始从受害者处提取个人信息这一过程的电子邮件。突出的示例包括要求您提供用户名和密码的银行警报。

　　文凭 ：提供假冒文凭网站，其中客户可以请求能“证明”他们从某学校毕业的伪造文件。这些不是合法学术机构，不能代表实际学历。通常与僵尸网络活动相关。

　　药品：此类别包括伪造的加拿大制药企业垃圾电子邮件(一般来自中国主机) 、a?ai-berry 垃圾邮件、营养添加剂等。这些邮件一般与僵尸网络相关，但是也可能来自向某些其他国家 / 地区发送邮件的托管 Web 服务器场。

　　营销 ：向选择接收邮件的收件人宣传或推销产品。其中的示例包括航空公司或旅行社向收件人发送旅行线路列表。这些电子邮件是第一方广告，意味着收件人应该知道他们为什么收到该电子邮件。这些邮件不同于第三方广告，后者将在稍后讨论。

　　钟表 ： 此类邮件很容易区分，是最常见的产品垃圾邮件形式。

　　几点意外

　　此分析最令人以外的结果是大量文凭垃圾邮件来自中国、韩国和越南。文凭垃圾邮件兜售伪造文件以图证实针对工作或其他活动的资格。

　　新加坡、 中国香港和日本的发送状态通知邮件比率都非常突出。这些数字可能表明邮件过滤存在问题，未能尽早捕获和停止垃圾邮件以阻止生成发送到伪造“发件人”地址的通知。

　　泰国、罗马尼亚、菲律宾、印度、印度尼西亚、哥伦比亚、智利和巴西在过去五年间的 Internet 发展都非常快。这种快速增长和注重访问而不是注重安全性导致了较高比率的恶意软件感染和垃圾邮件。恶意软件增长仍保持“良性”

　　2009 年，McAfee Labs 记录并抵御了 1600 多万个恶意软件。此数字稍微高于 2008 年的 1000 多万个恶意软件。截至 2010 年三月，我们已经看到并抵御了三百多万个恶意软件。第一季度的结果表明总体增长已回落;但是，我们预计 2010 年将记录的恶意软件数量很可能至少与上一年一样多。

　　在其他主要恶意软件领域，我们也看到了此回落趋势。务必牢记的是，这些数字是递增的;这意味着它们代表我们每个季度记录的新恶意软件数量。在加强保护和保持警惕方面仍然不可松懈。无论从哪个角度看，第一季度三百万个(每天接近 40000 个)恶意软件仍然是非常庞大的数量。

　　下面花点时间了解一下最“流行”的恶意软件。下面的列表显示了全世界消费者检测所报告的主要恶意软件。 (此列表在世界上不同的地区往往不同，但本季度我们跟踪的所有地理区域都报告了相同的主要威胁。 )

 

　　全球前 5 大恶意软件

　　1.Generic!Atr ：一般可移动设备恶意软件

　　2.Generic.dx：一般下载程序和特洛伊木马

　　3.W32/Con?cker.worm!inf：可移动设备 Con?cker 蠕虫检测

　　4.一般潜在有害程序： 通用潜在有害程序

　　5.GameVance： 匿名地收集统计数据的在线游戏软件

　　此前 5 大恶意软件与前几个季度的结果非常吻合。前 5 大恶意软件中的两种为自动运行恶意软件(甚至有一种使用 Con?cker) ，而其他则为各种密码窃取特洛伊木马。我们往往将虚假安全产品通通检测为潜在有害程序，而 Internet Explorer 一直是网络犯罪分子最喜欢的攻击目标，从而导致我们感染操作 Aurora。

　　操作 Aurora

　　本季度谈论最多的攻击之一是操作 Aurora。虽然它实际上发生在 2009 年末，我们现在认为操作 Aurora 是 Internet 历史上最重要的针对性攻击之一。此攻击借助高度自定义的恶意软件和多层混淆来利用 Internet Explorer 中的零日漏洞，准确攻击了 30 多家公司及其数据。Aurora 可能会在今后几年对针对企业的网络犯罪意识产生深远影响。

　　有关该攻击的详细分析，请参考以下迈克菲博客 ：

　　http://siblog.mcafee.com/cto/source-code-repositories-targeted-in-operation-aurora/

　　http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/

　　http://www.avertlabs.com/research/blog/index.php/2010/01/14/more-details-on-operation-aurora/

　　http://www.avertlabs.com/research/blog/index.php/2010/01/15/operation-aurora-leading-to-other-

　　threats/

　　http://www.avertlabs.com/research/blog/index.php/2010/01/18/an-insight-into-the-aurora-

　　communication-protocol/

　　有一部出色的白皮书提供了有关我们从 Aurora 学习到了什么以及我们如何防止类似攻击取得成功的深刻见解：

　　http://resources.mcafee.com/forms/Aurora_VDTRG_WP

　　税收诈骗、网络钓鱼和网站

　　与税收相关的邮件一直是最受网络犯罪分子欢迎的诱饵，随着美国纳税季节的来临而数量日益增长。今年的美国国税局恶作剧似乎提前开始了：我们早在一月末就开始发现并跟踪与税收相关的诈骗、网络钓鱼和虚假网站。今年的闹剧还更加国际化，因为我们发现的许多诈骗和网络钓鱼仿冒的是海外金融机构。

 

　　轻信的用户会查看此类司空见惯的诱饵，尽管诱饵特定于一年中的时间：如果他们爽快地提交相应的在线文书工作， 将有资格获得退税。当然， 并不存在真正的退税， 有的只是身份被盗和财务损失的机会。

　　从二月中旬起，我们开始看到此类网站数量达到峰值。此类网站声称在分发纳税申报表和申请以帮助完成缴税。它们全都是虚假和恶意的。

　　搜索引擎操纵变得更加复杂

　　McAfee Labs 注意到 2009 年搜索引擎操纵数量显著上升。攻击者利用搜索提供商使用的网页排名逻辑，提升指向恶意网站的链接的排名。与以前一样，网络犯罪分子设法使用当天最热门的词汇和主题，从而最大限度提高其诱惑受害者的潜力。在 2010 年第一季度中，我们看到了下列“中毒最深”的搜索主题 ：

　　海地地震 ?

　　智利地震 / 夏威夷海啸警告 ?

　　丰田汽车召回 ?

　　Apple iPad ?

　　2010 NCAA 篮球锦标赛/三月风暴 ?

　　泰格 · 伍兹就性丑闻公开道歉 ?

　　Shamu 逆戟鲸伤人/ 佛罗里达鲨鱼伤人

　　冬奥会雪橇赛道悲剧 ?

　　土拨鼠日 ?

　　美国医疗改革法案 ?

　　攻击者通常利用从 Google Trends 等 RSS 源提取的流行搜索词汇对网页进行交叉链接。我们在访问恶意链接时通常可以识别操纵 ：与看到预期的内容不同，我们找到的网页除了包含文本代码片段和许多链接外，什么也没有。最近攻击者已将其内容放在 PDF 文档中以帮助迷惑受害者。

　　Google 通常会进行爬网、索引并将中毒的 PDF 文档转换为 QuickView，从而打开了攻击不知情受害者的方便之门。 此类攻击的目标往往是将用户重定向到虚假防病毒软件网站， 诱使用户购买虚假安全产品。

　　最近 McAfee Labs 注意到搜索引擎操纵导致了各种形式的点击欺诈和网络滥用。本季度的一个示例是一种利用 Digg 的信誉来达到攻击目标的诈骗。当轻信的用户访问 Digg 上的超链接时，他们看到如图 12 所示的视频。

　　此“热门视频”背后隐藏着一些 JavaScript 和 Google 广告，如果受害者点击页面上的任何位置，将会给诈骗创建者带来收入。其他示例则更加明显：浏览器被重定向到搜索结果的另一页，虽然该页与原始页相似，但是会给攻击者产生某些广告收入。

　　中毒的搜索诈骗与垃圾电子邮件数量(约占所有电子邮件流量的 90%)相比还相差甚远，但搜索操纵的上升趋势令人担忧。

　　密码窃取程序和虚假安全软件渗透社交网络

　　在我们于 2009 年 12 月发布的《2010 年威胁预测》中，我们预计通过密码窃取程序特洛伊木马和其

　　他恶意软件对社交网络的攻击在 2010 年将会增加。2在当前季度中，我们已看到了该预测兑现的若干

　　示例。

　　我们通常观察到的 PWS-Zbot 和 Spy-Agent.bw 形式的 Zeus 系列是最突出的密码窃取程序特洛伊木马

　　恶意软件。它专门捕获银行凭据。Zeus 只是网络犯罪分子的主要工具之一，他们往往将密码窃取程序

　　与其他类型的非法在线材料绑定在一起。例如，我们在包含儿童色情内容的相同机器上看到了 Zeus，

　　或随其他系列的特洛伊木马一起安装，如虚假安全软件(也称为虚假警报或虚假防病毒软件)。

　　在本季度中，我们看到了各种虚假安全软件随 Zeus 一起安装。您猜想谁是这些攻击的主要目标呢?

　　是 Facebook 用户。

　　大多数攻击都遵循以下模式 ：

　　攻击者发动大规模诈骗活动。在我们观察的大多数案例中，他们使用虚假密码重置邮件获得受害者的?

　　注意力，如下所示 ：

　　“由于采取了措施来保护我们客户的安全，您的密码已经更改。您可以在所附的文档中找到您的新?

　　密码。”

　　附件文档一般包含某种 Bredolab 或 Pushdo 特洛伊木马变种。?

　　Bredolab/Pushdo 网络以 Zeus 系列的安装程序的形式工作，不需要用户交互。但情况还不仅如此。

　　由于 Bredolab/Pushdo 在用户打开附件时进行安装，因此它可以安装和维护 Zeus，以及安装其控制者

　　认为对他们有利的任何其他特洛伊木马。

　　我们本季度观察到的最常见情况是安装虚假安全软件特洛伊木马。

　　犯罪分子为何要假冒防病毒软件?它可以同时让恶意软件开发者及其分发者赚钱。大多数虚假警报特

　　洛伊木马都由某个联盟计划运作，中间人会通过其软件的每次新安装获得部分利润。

　　Facebook 用户不仅遭遇 Zeus 和虚假安全软件攻击的困扰，而且还遭遇新的 W32/Koobface 蠕虫的困

　　扰。三月份，我们发现 150 多个网站的 .sys 文件夹中包含恶意文件 ;该文件夹在 Unix 系统上是隐藏的。

　　这些网站中的部分示例如下 ：

　　brand[已删除]b.dk/.sys/?getexe=p.exe

　　brand[已删除]b.dk/.sys/?getexe=v2captcha21.exe

　　brand[已删除]b.dk/.sys/?getexe=go.exe

　　alv[已删除]n.dk/.sys/?getexe=pp.14.exe

　　alv[已删除]n.dk/.sys/?getexe=v2prx.exe

　　car[已删除]ort.com.au/.sys/?getexe=pp.14.exe

　　car[已删除]ort.com.au/.sys/?getexe=fb.101.exe

　　这些已遭破坏的主机提供的文件本质上是 Koobface 恶意软件，但是还包括一般下载程序、主机文件修改程序、密码窃取程序等。

　　恶意域增加

　　Web 威胁在本季度非常活跃。McAfee Labs 发现了若干趋势 ：从支持高度针对性攻击的服务器，到普通 Koobface、Zeus 和网络钓鱼尝试，这些尝试利用了现金卡、罗曼蒂克方案、美国国税局表格和一般帐户信息。我们还注意到，在标记为间谍软件或广告软件公司中，质疑这些声明的公司数量显著增加。新的“恶意”URL

　　图 13 显示了我们发现的恶意活动模式。新的攻击发动时，或新的僵尸网络发布时，我们看到信誉不良网站的数量出现明显的峰值。但是在一两天内，新不良网站的数量会回落到往常水平。McAfee Labs 还发现控制僵尸网络的恶意服务器之间的往返通信明显增加。其中绝大部分服务器都表现出我们独有的威胁媒介交叉关联技术能够识别的特征。例如，在 3 月 2 日出现恶意 URL 飙升之前，2 月 14 日出现了明显的电子邮件威胁峰值。

　　当我们越过服务器查看恶意 URL 的位置时，这种以美国为中心的趋势变得更加显著。很大程度上，由于对 Web 2.0 非常重要并被恶意软件分发者集体滥用的普通 Internet 服务，98% 的恶意 URL 托管在美国国内的服务器上。在其余 2% 中，中国托管着 61%，加拿大托管着 34%。

　　我们看到增加得最多的恶意 URL 和网站之一是快速增长的 Zeus 系列。由于 Zeus 便于使用并在网络犯罪分子中非常流行，我们在本季度中看到了向使用自动域注册做法和 Fast-?ux IP 的真正恶意服务器的明显转变。一旦我们发现一台 Zeus 服务器，则很容易发现还有另外几十台这样的服务器。我们发现的一台 Zeus 操控服务器产生了另外 160 个恶意域，这些域涉及从社交网络和媒体共享感染到美国国税局诈骗以及其他凭据诈骗的各种恶意内容。

　　面临攻击的客户端

　　客户端安全问题在本季度高危漏洞列表中仍然占主导地位。我们的传感器记录了多次通过 Secure Sockets Layer (SSL) 通信协议从 Pushdo 僵尸网络进行的攻击。我们看到了使用 SSL 请求发动针对性拒绝服务攻击的尝试。

　　McAfee Labs 在本季度中见证了多次零日攻击。其中一些最受关注的攻击影响了 Microsoft Internet Explorer 和 Adobe Acrobat 及 Reader。

　　“操作 Aurora”MS10-002 HTML Object Memory Corruption Vulnerability(MS10-002 HTML 对象内? 存破坏漏洞)- CVE-2010-0249：1 月 13 日，McAfee Labs 确认 Internet Explorer 中的一个以前未知的漏洞会造成针对性零日攻击，并通知了 Microsoft，后者确认了该问题并在第二天发布了一个建议。3 Metasploit 在随后一天发布了有效的解决办法。由于该漏洞在随后受到广泛攻击，Microsoft 于 1 月21 日发布了一个带外修补程序。我们的实时传感器仍然看到多次攻击该问题的尝试。

　　Internet Explorer Dynamic OBJECT tag and URLMON snif?ng vulnerabilities(Internet Explorer 动 态? OBJECT 标记和 URLMON 监听漏洞)- CVE-2010-0255：2 月 3 日，一组研究人员在 Black Hat 华盛顿特区 2010 大会上介绍了 Internet Explorer 中的两个漏洞。Core Security 网站对这些问题进行了进一步的讨论。这些漏洞导致跨域信息泄露，可能会使攻击者能够访问敏感文件，然后用于发动针对性攻击。在本报告撰写之际，这些问题仍未通过修补程序加以解决。

　　Adobe Acrobat and Reader Remote Code Execution Vulnerability(Adobe Acrobat 和 Reader 远程代码? 执行漏洞)- CVE-2010-0188：2 月 16 日，Adobe 修补了 Reader 中的一个可能导致远程代码执行的严重漏洞。McAfee Labs 发现了肆无忌惮地频繁利用此问题的恶意软件示例。Acrobat 和 Reader 用户应该使用这些修补程序进行更新。

　　Uninitialized Memory Corruption Vulnerability(未初始化内存破坏漏洞)? - CVE-2010-0806：3 月 9 日，Microsoft 报告了一个以前未知的漏洞利用，影响 Internet Explorer Versions 5、6 和 7(Internet Explorer 8 不受影响)。建议 Internet Explorer 用户使用 3 月 30 日发布的带外修补程序进行更新。

　　跨站点脚本打开后门

　　我们的实时传感器本季度捕获了多次脚本插入尝试。我们将所见到的通过 HTTP 进行的攻击数据分为三大类。

　　网络犯罪审判

　　DarkMarket：Devilman 和 JiLsi 服罪

　　2006 年到 2008 年间，DarkMarket 是伪造卡领域最活跃的地下论坛之一，主要窃取信用卡和借记卡号码并出售牟利。尽管需要受到邀请才能加入 DarkMarket，但其自夸拥有 2000 多个注册用户。FBI 渗透到该论坛并于 2008 年 10 月将其关闭。在其他警察部门的帮助下，FBI 在美国、英国、土耳其和德国逮捕了 50 多人。这些被捕者中包括 Cagatay Evyapan(又名 Chao，土耳其)、Mert Ortac(Kier，土耳其)和 Markus Kellerer(Matrix001，德国)。

　　本季度，两名主要 DarkMarket 成员在伦敦的 Blackfriars 刑事法庭为其犯罪行为伏罪。他们将面临最长10 年的刑期。

　　第一位是 Renukanth Subramaniam，被称为“JiLsi”。这位 33 岁的斯里兰卡人是一名网站管理员，是最早的论坛成员之一。6第二位是 John McHugh。69 岁的“Devilman”是一名评论员。他的工作之一是验证新注册者提供给该团伙的信用卡以确定是否将其接收为成员。7

　　Wiseguys 僵尸网络

　　我们经常听说垃圾邮件制造者绕过 CAPTCHA(Completely Automated Public Turing test to tel Computers and Humans Apart，区分计算机和人的全自动公共图灵机测试)身份验证。通过使用被 bot 感染的计算机，他们可以创建大量的随机电子邮件帐户来发送垃圾邮件。

　　2 月份，美国新泽西州纽华克的联邦法官透露了僵尸网络支持的 CAPTCHA 破解程序的最新使用案例。在此案例中，受被告操纵的计算机被用来从合法门票销售商的网站购买音乐会和体育赛事优惠门票。僵尸网络操纵者随后以稍高的价格转售门票。

　　据起诉书称，该分布式软件由保加利亚的程序员开发。该应用程序绕过了旨在限制个人门票购买的安全保护措施，并抢先订购了最好的座位。与我们经常遇到的僵尸网络不同，此僵尸网络设置在为该目的而设计的专用计算机上。该网络购买了超过 150 万张优惠门票，涉及从 2002 年末到 2009 年 1 月左右的各种活动，获利估计达到 2890 万美元。

　　此偷窃行为背后的雇主、承包者和被告称作 Wiseguys，其名称基于他们在内华达创办的公司名称(Wiseguy Tickets, Inc.)。Wiseguys 僵尸网络是全国范围的计算机网络，每分钟购买数千张门票。该网络的特征令人印象深刻 ：

　　监视在线门票供应商的网站，以准确掌握流行活动门票开始出售的时间。?

　　在门票开始出售的那一刻同时打开数千个连接?

　　在几分之一秒内绕过 CAPTCHA 质询(人类需要 5 至 10 秒)，从而抢先于合法购买者?

　　受 Wiseguys 雇主的监督，它几乎即时地准备好几百张最佳门票的列表?

　　填写完成购买所需的所有字段，包括客户信用卡信息和虚假电子邮件地址?

　　图 17：Wiseguy Tickets 制作的欺诈在线门票出售信息。(来源 ：迈克菲)

　　起诉书阐述了 Wiseguys 如何利用许多流行活动，包括 BCS 足球锦标赛、芭芭拉·史翠珊芝加哥音乐会、

　　汉娜·蒙塔娜新泽西音乐会和 2008 年布鲁斯·斯普林斯汀巡回演出。8对于最后这项活动，该僵尸网络

　　购买了约 11800 张门票。

　　他们的最后一次犯罪发生在 2009 年 1 月，当时该僵尸网络仿冒 1000 个单独的门票购买者，非法购买在新泽西州卢瑟福区东部的 Giants Stadium 举行的 New York Giants 与 Philadelphia Eagles 的美国足球联赛总决赛门票。

　　Operation Bottom Dollar 整治行动

　　本季度，美国联邦商务委员会提出了七宗针对在家工作和工作安排诈骗犯的诉讼。9在 2 月宣布的诉讼中，联邦商务委员会对七家机构进行了指控。这使该机构过去 12 个月提出的诉讼数量达到 11 宗。据联邦商务委员会的控诉称，被告之一的 Real Wealth Inc. 欺骗了 10 多万人，向他们销售所谓的解释如何通过申请政府补助来赚钱的小册子和在家工作明信片及信封。通过使用有时针对老年人和残疾人的邮件直销活动，Real Wealth 使用“我完成 3 分钟的简单表格就收到了 9250 美元”或“我每天只需邮寄 30 张明信片，一周就可以赚到 350 美元”之类的欺骗性陈述来诱骗消费者。Real Wealth 还声称，通过学习有关“7000 亿银行业紧急融资”的“秘诀”，消费者可以“每周快速挣到多达 1500 美元以上或更多实实在在的现金”。

　　在另一起控诉中，Darling Angel Pin Creations 在 Internet 广告中声称，通过购买入门工具箱，消费者每周可通过装配斜销最多挣得 500 美元。

　　Mariposa 僵尸网络

　　2 月份，西班牙公民警卫队逮捕了多名运作 Mariposa 僵尸网络的犯罪团伙成员。此僵尸网络最初出现于 2009 年 5 月，其背后的各种恶意软件已劫持了 190 个国家/地区的 1300 万台 PC。10它在 2009 年12 月被关闭，其目的是窃取信用卡数据、网络银行密码、社交网站帐户信息和其他敏感数据。它通过

　　对等网络、被感染的 USB 驱动器和将受害者指向被感染网站的 MSN 链接进行传播。一旦发现受害者，Mariposa bot 客户端将安装各种恶意软件变种(高级按键记录程序、包括 Zeus 在内的银行特洛伊木马、远程访问特洛伊木马等)，以获得对受害系统的更强控制。该犯罪团队自称为 DDP 团队(表示días de pesadilla 或“噩梦般的日子”)。我们在某些指向这些犯罪分子创建来传播其恶意软件的网站的 WHOIS 查询中发现了此称谓。

　　网络犯罪攻击

　　三月份，迈克菲警告消费者，“假冒安全软件”(虚假安全软件或虚假防病毒软件)可能是 2010 年造成损失最大的在线诈骗，将会导致大量金钱损失和对用户计算机的损害。11在本部分中，我们将提供一些有关我们在该公告中介绍的数字的详细信息和背景知识。在迈克菲，我们使用标签“虚假警报”来统称此特洛伊木马系列，其中包括假冒安全软件、恶意防病毒程序和其他示例。从图 18 中可以看到，此类别的恶意软件在 2009 年呈爆炸式增长，仅 3 月 1 日到3 月 10 日，我们就收集到了 45000 个新样本。(样本包含与虚假安全软件相关的所有类别恶意软件 ：

　　下载程序、Dropper、脚本、安装程序和构成每个产品的许多文件。)

　　在 2004 年 1 月到 2009 年 12 月间，McAfee Labs 检测到 3000 多种虚假安全软件产品。其中许多仅存在很短的时间(也许仅存在数周或数月)，但其他早在 2004 年就已创建，现在仍然在网上存在。我们知道其中一半左右所出现的年份。超过 170 种是本季度才出现的。对于许多产品，只是名称所有变化。此诡计最大限度地增加了迷惑受害者的机会，减少了开发者的工作量。虚假安全软件公司创建了大量网站，在各种不同名称的伪装下重复销售同一个虚假产品。

　　我们看到了数千种虚假警报产品，但我们发现虚假安全产品公司数量却很少，也许有 30 至 50 家。开发者创建许多子公司并与关联公司合作，以帮助掩盖其痕迹并增加销售量。在我们分析 2000 种产品的过程中，我们可以确定每种产品的公司名称。

　　虚假安全软件公司往往公开运作，例如，有些公司并不惧怕在 LinkedIn 上创建公司简介。当压力变得太大时，他们可以简单地开始某种“新”业务。为了增加销量，虚假安全软件公司雇用关联公司，并向他们承诺高佣金，高达销售价格的 75%。

　　一位安全方面的同事对主要虚假安全软件公司之一的生产性服务器进行了六个月的观察。在短短 10 天内，他就看到了 4 百万次下载(也就是 4 百万次感染)。这仅包括一家公司，并且某些受害者一天进行了多次下载。根据此数字进行推断，我们可以估计全世界每天沦为虚假安全软件诈骗受害者的人数可能达到一百万。

　　并非所有下载都是有意的。但是在 11 个月内，该虚假安全软件公司收到了 450 万个订单，即实际用户请求。根据此数字，我们可以假设该公司年收入超过 1.8 亿美元(折合人民币约 12.24 亿元)。但情况还不仅如此 ：这些公司不仅销售虚假安全软件。他们还提供许多其他虚假产品(多媒体软件、健身软件、家庭软件等)。最重要的是，他们还兜售色情内容。因此，他们的实际收入还要高得多。

　　黑客行为

　　除了网络犯罪以外，我们还看到了有政治动机的攻击。一月份，白俄罗斯人权协会 Charter97 再次遭到攻击。分布式拒绝服务活动最近几个月来经常攻击该新闻和反对派网站。13一月份，俄罗斯的Novaya Gazeta 网站在黑客的持续攻击下瘫痪了一个星期。14“干这事的不是业余爱好者，不是小流氓”，Novaya Gazeta 的 Andrei Lipsky 表示，“这是有预谋的行动。我们只能猜测幕后指使者”。

　　二月份，黑客破解了拉脱维亚税务局的电子申报系统数据库。15一伙自称“第四觉醒人民军”(4ATA) 的黑客访问了该税务局的七百多万份文档。“该团伙的目的是揭露那些侵吞国家财产的人”，一位使用别名 Neo 的涉嫌黑客在拉脱维亚时事谈话节目 Kas Notiek Latvija 的网站采访中告诉记者。一个全球黑客团伙采用毫无创意的绰号 Anonymous 并大张旗鼓地传播 Project Chanology，这是 2008 年针对科学教派的一场持续破坏活动。16今年二月份，该团伙发动了针对澳大利亚政府网站的拒绝服务攻击。他们称自己的主张称为 Operation Titstorm，反对政府过滤 Internet 内容和阻止访问极端色情内容网站的动议。他们的目标包括正在试验有争议的计划的澳大利亚通信部，以及总理陆克文的主页(篡改为色情内容)。17黑客还攻击了一个属于 Australian Communications and Media Authority 的网站。