McAfee 2009年第一季度安全威胁报告

　　Web： 每天都会出现新的恶意网站

　　在本季度的研究中， 我们发现 2008 年第四季度出现的很多威胁仍然存在， 并且呈明显上升趋势。 虽然大多数媒体宣传和关注的是 Con?cker， 但这绝不是本季度流行的唯一威胁。 即使忽略 Con?cker 活动， 我们仍会看到各类威胁在逐年增加， 每个季度都必定高于前一季度。 恶意反病毒应用程序是 Web 上一个很受关注的问题， 与此同时， 涉及诈骗和网络钓鱼的活动也有一定的增加。

　　除了 “恶意网站分布” 这幅图外， 本节中的日常图表和数据并不包括 Con?cker 所触及的恶意域。 虽然 Con?cker 数据是威胁图表的重要组成部分， 但它会分散我们关注全部恶意活动的注意力。 有很多其他威胁正在变得越来越流行。 恶意软件作者和垃圾邮件制造者正在利用我们对经济形势的担忧和恐慌， 推出各种各样的诈骗网站。 他们的广告包括避免丧失抵押赎回权和各种各样的网络钓鱼网站; 他们甚至还提供信誉奖励卡。 恶意防病毒网站依然将毫不设防的用户作为攻击目标， 并且吸引用户访问网站的手法也在不断翻新。 甚至所有 Con?cker 活动还推出打折服务， 与 2008 年最后两个季度相比， 越过 “底线” (或 “红线” )而划到 “恶意” 网站的 URL 数量显著增加。

　　为什么我们之前视为 “准则” 的恶意网络活动分布 (其中美国、 中国和俄罗斯排在前三位) 会突然发生变化呢?这并不能说明某些国家/地区的恶意 URL 数量减少了。 更确切的说， 是其他国家/地区的恶意 URL 数量增加了。 在很大程度上， 这种增长与 Con?cker 将触及或已触及的某些域不无关系。 事实上， 只此一点便将荷兰推到了第四位。尽管荷兰长期以来一直因托管网络钓鱼 URL 而饱受诟病， 但这种增长主要归因

　　于 Con?cker 所引起的感染恶意软件的网站和其他此类恶意内容方面的大幅增长。 不过， 并非所有这一切都是由 Con?cker 造成的。 加拿大在托管恶意 Web 服务器方面一直排在前十位， 这主要归功于这些网站提供的多种恶意软件和间谍软件。

　　我们发现很重要的一点是， 同一国家/地区存在多种攻击媒介 (恶意网站、 托管间谍软件/广告软件的网站、网络钓鱼和垃圾邮件) 。 在托管恶意网站方面排在前七位的国家/地区， 同时也在托管网络钓鱼、 垃圾邮件、恶意软件/广告软件方面排进前十位。

　　恶意网站在目标选择、 合法性、 隐蔽性或欺诈性方面千差万别。 在访问与知名合法企业没有任何联系的色情或赌博网站时， 您仍然会冒较大的风险。 不过， 没有任何网站是绝对安全的， 无论用户访问何种类型的内容都会给恶意软件散布者提供可乘之机。

　　在本季度， 由于恶意软件散布者将内容服务器作为传播恶意和非法内容的工具， 而使内容服务器访问量急剧增加。 在信誉良好的知名提供商创办的网站以及不太有名且信誉较差网站上， 我们都发现了这种趋势。由于博客和搜索引擎优化技术的广泛使用， 这种威胁可谓是如虎添翼。 与以前相比， 现在为每台计算机配备所有 Web 安全功能显得尤为重要。

　　我们已经介绍了威胁的出处， 现在让我们讨论一下令人关注的威胁类型。 本季度除了 Con?cker 以外， Web 上的新恶意软件和漏洞攻击也一直频繁发生。

　　在上面的图表中， 说明了 McAfee TrustedSource 网络本季度检测到的提供恶意软件和潜在有害程序 (PUP) 的网站数量。 (此图表说明了实际托管恶意软件的网站， 并反映了访问这些网站的用户数量。 其中不包括因漏洞攻击而导致用户访问恶意网站的合法网站。 另外， 此图表删除了我们的主动搜索结果， 从而为我们提供了一个在常规浏览时 (在学校、 工作或家里) 遭遇到的各种独特、 新威胁的真实情况。

　　相比之下， 下面的图表说明了我们的主动型方法的最新发现， 即各种网站提供了哪些独特的新恶意软件下载。从新漏洞攻击或是当发现提供恶意下载内容或 PUP 的“金矿” 网站时， 我们发现了一些值得关注的现象。

　　我们的主动型观测方法使用常规爬网和网站验证以及独特的挖掘方法来查找详细的恶意信息， 结果发现在一月末和二月初， 与赌场有关的新恶意软件下载数量激增， 在上季度末常规 PUP 的数量也大大增加。 在该季度， 此类活动位列恶意软件下载类型的前四位。 (请参见下面的图表。 ) 另一种值得关注的恶意软件是持续存在的 Vundo Trojan 木马程序， 该活动在过去三个月里变得更加猖獗。

　　我们面对的一种无形 Web 威胁是漏洞攻击， 对于分析人员和用户来说， 这一术语具有很多含意 (通常是不相同的) 。 当我们爬网并监视 Web 时， Avert Labs 跟踪暗藏浏览器漏洞的新网页， 我们经常会发现新的浏览器安全漏洞。 如果浏览器 (及其插件) 不是最新的， 这些 “沙盘” 可能很容易变成恶意软件作者的推演战场。 在恶意软件攻克了山头后， 用户的计算机可能会收到一些编程代码， 这些代码会使用户感染广告软件、键击记录程序和其他恶意活动。

　　匿名工具活动

　　恶意软件编写者正在肆无忌惮地使用重定向的 URL 发动攻击 (无论是通过匿名工具还是使用内容服务器的 Web 2.0 接口) 。 这可能是为了避免标准检测 (通过充当嵌入式 URL 而不是源 URL) ， 或者是利用这些看起来提供了恶意软件的网站固有的声誉。

　　匿名工具是一种在联机时隐藏用户身份的工具。 大多数匿名工具并不是恶意的， 因此， 我们前面讨论的安全危险中没有包括这些工具。 不过， 使用此类工具可能会向 “中间人” 攻击敞开大门， 恶意匿名工具或被劫持的匿名工具会在用户和服务器之间传送的邮件 (无论是哪种方向) 中注入代码。 这不仅会使用户处于危险的境地， 而且还会危及本来受到很好保护的主机和网络。 从总体上讲， 本季度的匿名工具活动较上一季度有所增加。 本季度与去年同期相比也略有增加。

　　一般 Web 趋势

　　Web 是一个全球性社区。 只需看一下专业或社交网站上的链接， 便可见一斑。 网页数量在持续稳定地增加以支持更多的语言。 在美国的顶级网站中出现的相同博客攻击也会通过中国博客、 巴西博客和很多其他国家/地区的博客进行传播。 而如今的攻击使用的是一个范围广泛的网络。 此外， 恶意软件散布者利用了品牌知名度的优势 (如重要体育赛事和使用嵌入到联赛对阵表和球员图片中的恶意软件) ， 只要他们利用全球性品牌就可以攻击使用各种语言的用户。

　　令人讨厌的弹出窗口仍然会不时出现。 有趣的是， 尽管有弹出窗口拦截程序和其他支持此功能的工具， 但大多数网站仍然乐此不疲地使用它们。 某个网站上的弹出窗口数量竟然高达 116 个。

　　我们仍然可以看到与 Web 2.0 及企业有关的合法 URL 在传播恶意软件， 并且呈迅速蔓延的势头。 在十年前或是更早以前， 那时您只要别碰某些内容， 就安全无忧。 但是现如今， 无论我们浏览到哪里， 威胁都如影随形。 所有可利用的网站都会被利用 (通过暗藏在其中的各种各样的安全漏洞) ， 而管理员需要天天扫描查找服务器上的安全漏洞。 值得注意的是， 这些来自网站和服务器的扫描呈流行趋势， 它们与非法软件、恶意网站或匿名工具有关。 如果一个高访问量的网站是易受攻击的， 那么我们勿需置疑该网站会不会被漏洞攻击， 这只是时间问题。

　　我们发现 Web 上的诈骗呈明显上升趋势。 网络骗子们通过垃圾电子邮件和 Web 给世界各地的人们不断造成侵扰并从中获益， 我们预计这种诈骗还会不断蔓延。 通常很难甄别某个组织是否合法。 对于 Web 上的企业， 您需要采用与对付上门推销的销售员相同的安全防范措施。 用户必须清楚， 一旦他们给骗子提供了信用卡信息以进行网上捐款或购买虚假的服务， 该数据就会落到骗子手里了。

　　不过， 我们的分析还表明经济出现了复苏的迹象。 本季度的房地产网站访问量明显增加， 在为用户提供的十大内容类别中占有一席之地 (而将体育内容挤出前十位) 。

　　恶意软件： Con?cker 言过其实， AutoRun 不可小觑

　　前几个月， 到处充斥着与 Con?cker 有关的消息。 您可能会认为这是唯一值得担心的威胁。 然而， 当我们看到具体的分析数字后，却发现情况并非如此。 Con?cker 不是最大的威胁。

　　确实， 从各个方面分析 Con?cker 都是一种非常可怕的恶意软件。 它感染了许多主机。 并且一直为别有用心的人积极开发和维护着， 也经常为人提起。 但尽管受到广泛关注， 其实际的感染情况却并没有人们所想像的那样严重。

　　而与此同时， 在本季度我们还发现了一种令人担忧的恶意软件。 这是一种基于 AutoRun 的恶意软件， 它主要使用 USB 驱动器或闪存驱动器自我复制。 在本季度由此类恶意软件所造成的感染数量要远远多于 Con?cker。下面让我们逐一比较这两种恶意软件：

　　在过去的 30 天里， 报告的所有感染中有不到 10% 是源于 AutoRun 蠕虫。 Con?cker 最初约占 1%， 后来增加到 12%， 但这仍低于 AutoRun 蠕虫近期检测到的峰值 15%。

　　预测更新

　　在今年年初， McAfee Avert Labs 发布了 《2009 年威胁预测》 2。 其中许多有根据的推测在本季度都得到了印证。

　　警惕您的好友

　　在过去的十年里， 从朋友那里收到病毒这种常见的威胁媒介已经受到了有效的控制。 但 Web 2.0 又使这种老套的攻击方式重新焕发了生机。 在本季度， Koobface 变种突然感染了数以千计的用户， 而这些受害者正是由于接收了 Facebook 上的好友所发送的病毒。 受害者并不知道与发送病毒的邮件关联的链接将定向到散布这种蠕虫的网站。 此后不久， 他们的计算机就会感染这种病毒， 并向其朋友圈发送感染病毒的邮件。社交网站依然是攻击者发动社会工程攻击所常用的媒介。

　　欺诈性网络

　　在二月份， Facebook 遭到漏洞攻击， 攻击者利用 Facebook 平台创建了欺诈性的应用程序。 很多用户中了圈套， 安装了这些应用程序。 该事件引起媒体的关注， 也促使 McAfee Avert Labs 着手调查针对 Google 高频搜索词而产生的大批量搜索引擎优化链。 攻击者不仅从各热门网站窃取受版权保护的资料， 而且还滥用其他热门网站 (如 Democrats.org) 帮助其提升 Google 排名。 在优化搜索结果背后， 攻击者的最终目的是安装恶意防病毒软件。 恶意 Facebook 应用程序就属于这种情况， 它可导致列出恶意搜索结果并安装恶意安全软件。 这些事件充分说明用户亟需确保安全地上网冲浪。

　　利用母语发动的威胁

　　攻击者知道攻击越贴近用户的生活， 用户越可能乖乖就范： 单击链接、 输入用户名和密码以及安装应用程序。 与地球另一侧发生的事情相比， 发生在身边的事情更容易引起我们的注意。在二月和三月， 隐藏在 Waledac 病毒后的网络骗子正是利用了这一观点。 毫无戒备的受害人被引诱访问根据其位置定制的网站， 这种方式使伪装显得更加逼真。 当用户浏览 “本地新闻”时， 网络就会尝试通过 “随看随下” 漏洞代码悄悄安装病毒。