第九章互联网安全与病毒

第九章互联网安全与病毒

互联网面临的威胁 第一是以传统宏病毒、蠕虫等为代表的入侵性病毒；第二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁；第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。

计算机病毒的定义 计算机病毒（computer Virus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒的特征 隐蔽性传染性潜伏性可激发性破坏性

计算机病毒的种类 • 按照病毒的破坏性分类: 良性病毒、恶性病毒 • 按照病毒存在的媒体分类：网络病毒、文件病毒、引导型病毒、混合型病毒 • 按照计算机病毒特有的算法分类：伴随型病毒、“蠕虫”型病毒、寄生型病毒、诡秘型病毒、变型病毒（又称幽灵病毒）

CIH • 1999年4月26：CIH 1.2 版本首次大范围爆发全球超过六千万台电脑被不同程度破坏 • 2000年4月26：CIH 1.2 版本第二次大范围爆发，全球损失超过十亿美元 • 2001年4月26：CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏

CIH病毒也称切尔诺贝利病毒，属系统病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件，会破坏用户系统上的全部信息。感染途径：盗版光盘、软盘、网络。

冲击波病毒 2003年夏爆发，数十万台计算机被感染，给全球造成20亿-100亿美元损失。

防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁。如震荡波病毒防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁。如震荡波病毒冲击波病毒，属蠕虫病毒，运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，使系统操作异常、不停重启、甚至导致系统崩溃。感染途径：网络、RPC漏洞。

I love you 2000年5月至今，众多用户电脑被感染，损失超过100亿美元以上。

不随意查看陌生邮件，尤其是带有附件的邮件。不随意查看陌生邮件，尤其是带有附件的邮件。 I love you，属于蠕虫病毒，又称情书或爱虫。通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。向Microsoft Outlook通讯簿中的联系人发送自身，大肆复制自身覆盖音乐和图片文件，并在本机中大量搜索相关账号和密码，并发给开发者。感染途径：网络、电子邮件。

熊猫烧香 06年年底开始大规模爆发数百万台电脑受攻击，造成损失达数百万美元。

平时要注意保护U盘等移动存储设备数据安全。尽量不要直接双击打开，应该先按右键后打开。不用时，及时从电脑上把U盘拔除。 “熊猫烧香” ，属于蠕虫病毒，它采用“熊猫烧香”头像作为图标。它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程，删除扩展名为gho的文件被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。感染途径：主要通过下载的档案传染。

从病毒种类的构成比例也可以看出，木马以85.4%的比例依然占据主流，而传统病毒仅占4.3%、蠕虫2.6%、后门程序7.7%。从病毒种类的构成比例也可以看出，木马以85.4%的比例依然占据主流，而传统病毒仅占4.3%、蠕虫2.6%、后门程序7.7%。木马是编写的一种远程控制恶意程序，木马会未经用户许可，记录用户的键盘录入，盗取用户银行账户，密码等信息，并将其发送给攻击者。现在木马有很多种，象“广外幽灵”，“蓝色火焰”，“网络神偷”以及国产木马程序－“灰鸽子”等。木马作为病毒集团“互联网转型”的主要工具，是黑客实现经济利益的最直接手段。

“灰鸽子” 连续3年的年度十大病毒、被反病毒专家称为最危险的后门程序。 2007年2月21日，灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作：编辑注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。

2011年上半年Top10恶意代码排名

以恶意点击器为代表的流氓广告程序、网游盗号木马、QQ盗号木马、远程控制木马（控制“肉鸡”）、木马下载器、恶意脚本程序、伪装文件（文件夹）类U盘病毒是感染量最高的七大类木马病毒。其中，流氓广告程序是网民最常遇的一类木马，它的主要危害是绑架浏览器首页和桌面图标，强制访问不良网址导航。在网民电脑遇到的各种安全问题中，流氓广告程序所占的比例约为70%。

　通过分析发现，现在病毒木马的的特性不再以破坏系统为主，转为盗取私人信息（包括：游戏、网银等帐号密码及密保。），传播恶意程序为主，即利益因素为现在病毒木马的主要目的。　　网络下载和聊天工具传文件是木马病毒最主要的传播途径，所占比例合计达到74% 。　盗号木马病毒在盗取帐号密码后会将这些信息发送到指定的地址，然后会由专门的工作室去洗这些帐号（将游戏里的虚拟财产转为现实中的货币）；而现在手机产品中最火的android平台中恶意程序则以在后台定制扣费服务为主。　伴随着电子商务的发展，在经济利益最集中的互联网应用领域，如网络购物，木马的危害会越来越大，因此木马仍然在未来几年病毒总数中占据绝对优势。

钓鱼网站也是目前为止黑客所采取的最直接的获取经济利益的手段。钓鱼网站也是目前为止黑客所采取的最直接的获取经济利益的手段。网络钓鱼攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。网络钓鱼传统意义上指的是利用伪造邮件的方式发送邮件诱导用户点击，窃取用户银行帐号的行为。现在的钓鱼网站广泛意义上讲，以牟利为目的的欺骗。比如QQ中奖。

钓鱼欺诈网站是目前互联网黑色产业的主要攻击模式。而网络购物又是互联网上钱财最集中汇聚的地方，因此网购经济也在一定程度上催生了钓鱼网站的泛滥。钓鱼欺诈网站是目前互联网黑色产业的主要攻击模式。而网络购物又是互联网上钱财最集中汇聚的地方，因此网购经济也在一定程度上催生了钓鱼网站的泛滥。　钓鱼网站最钟爱六大类欺诈内容，包括：各种抽奖（22%），购物类网站，如假淘宝（17%）、假彩票分析（13%）、非法的六和彩网站（8%），假腾讯网站（8%），假证券网站（15%）。而伴随着电子商务的发展，互联网上直接经济活动的增多，购物类钓鱼网站依然会不断增加。

2010年十大典型的钓鱼网站 注：数据来源于金山云安全监测平台

案例：2011上半年中国银行网站被大量模仿做钓鱼站，影响及大。比如：www.bociec.tk 这个钓鱼站的页面与中国银行的几乎页面完全一样，正常的中国银行页面如图5.6，虚假的如图5.7。几乎仅仅在红框圈出来的地方不同。图5.6 中国银行网站

图5.7 仿中国银行网站 钓鱼站不再仅仅申请免费域名进行中奖钓鱼，开始攻击正常网站修改页面，为高利益假冒银行的网站，这些都在利益的引导下有了越来越专业的一条龙流水线。

防治网络钓鱼软件，应注意以下方面： • 不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。 • 不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗。 • 不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。 • 不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。 • 如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。 • 不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。

广告软件（Adware）是指 未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。防治广告软件，应注意以下方面：第一，不要轻易安装共享软件或"免费软件"，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。第二，有些广告软件通过恶意网站安装，所以，不要浏览不良网站。第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

间谍软件（Spyware）是能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获，甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。防治间谍软件，应注意以下方面：第一，不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。第二，有些间谍软件通过恶意网站安装，所以，不要浏览不良网站。第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

僵尸网络Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。黑客（Hacker）例1：伪造一个登录界面，当用户在这个界面上输入用户名和密码时，程序将它们转移到一个隐蔽的文件中，然后提示错误，要求用户再输入一遍。程序这时再调用真正的登录界面让用户登录，于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。例2：查证信息。你可能在某天接到这样的信息：“我是**银行（用户的网上开户银行）会计部，我们的客户信息系统出现了一点故障，请将你的帐号密码填入下表后提交，以便我们审核……”。请千万注意，遇到这种情况，应立即用电话跟你的开户行联系，决不要轻易填表。

案例：2010年的伊朗"震网"病毒事件，标志着电脑病毒作为一种武器正式登上战场2010年9月，伊朗称布什尔核电站部分员工电脑感染了一种名为“震网（Stuxnet）”的超级电脑病毒。这种病毒可以悄无声息地潜伏和传播，并对特定的西门子工业电脑进行破坏。万幸的是，这次电站主控电脑并未感染。案例：2010年的伊朗"震网"病毒事件，标志着电脑病毒作为一种武器正式登上战场2010年9月，伊朗称布什尔核电站部分员工电脑感染了一种名为“震网（Stuxnet）”的超级电脑病毒。这种病毒可以悄无声息地潜伏和传播，并对特定的西门子工业电脑进行破坏。万幸的是，这次电站主控电脑并未感染。

黑客的常用攻击手段： • 1、获取口令 • 2、放置特洛伊木马程序 • 3、WWW的欺骗技术 • 4、电子邮件攻击 • 5、通过一个节点来攻击其他节点 • 6、网络监听 • 7、寻找系统漏洞 • 8、利用帐号进行攻击 • 9、偷取特权

互联网安全威胁五大特征 一、病毒木马呈现“互联网化”趋势，高度依赖联网传播 1. 计算机脱离互联网的机会越来越少据CNNIC最新发布的第27次中国互联网络发展状况统计报告显示，截至2010年12月底，我国网民规模达到4.57亿，宽带普及率接近100%。主流计算机用户几乎已经通过各种渠道连接上了互联网。

2. 据2010年数据显示，病毒木马的传播途径中，有93.2%直接依赖互联网完成，其中有82.2%是通过下载行为感染计算机。 3. 网络畅通是病毒传播者获得非法利益的必要前提病毒木马感染的最终目的是篡改浏览器、弹出广告、分发盗号木马、推广流氓软件来赚取推广分成；通过推广钓鱼欺诈网站来诱骗用户上当受骗；网购木马通过劫持篡改网购定单，强行将网民在线购物的款项转到自己的帐户。病毒程序要实现这些目的，必须要在网络畅通的情况下才可能做到。

二、80%的病毒传播渠道被病毒集团所操控，危害更深入二、80%的病毒传播渠道被病毒集团所操控，危害更深入数据表明：十大病毒集团控制了互联网上80%的病毒下载通道。这些病毒集团传播的病毒，其主要破坏行为包括：为某些商业网站（主要是中小网址导航站、不良网站、盗版视频下载站）刷流量；推广一些商业软件（这些软件往往捆绑了各种插件，会篡改浏览器，弹出广告）；推广钓鱼欺诈网站，使中毒者上当受骗；推广其它病毒（主要是攻击热门网络游戏的盗号木马）。

病毒木马通过网络下载传播的完整路径

病毒集团的危害行为更加赤裸裸的以盗取经济利益为目的病毒集团的危害行为更加赤裸裸的以盗取经济利益为目的据2010年4月中国互联网络信息中心CNNIC和国家互联网应急中心CNCERT联合发布的《2009年中国网民网络信息安全状况调查系列报告》显示，2009年，52%的网民曾遭遇网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。而这些病毒木马在给网民造成损失的同时，也在疯狂的获得非法利益，病毒产业的收益以百亿元计，这些总数不到50家的病毒集团获取的非法收益约占其中一半，领先的病毒集团一年可有数亿元的规模，令一般中小企业难望其项背。

三、网络购物人群成为入侵重点对象 随着网络购物的发展，针对网络购物的安全威胁已经成为影响互联网安全的重要形式。在2010年，有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。

四、新型木马不断出现,破坏性超传统木 马10倍以前，我们说到木马，大多是指那些盗号木马，盗号木马以窃取网游玩家的虚拟财产为目标。现在，随着互联网商业应用的不断拓展，病毒木马作者已经不屑于盗取虚拟财产。很多正常商业网站或商业软件的推广会提供丰厚的佣金，病毒木马传播者的目标就是强行修改用户系统配置，为这些商业网站带流量，或者使用流氓手段推广商业软件，再从商业公司赚取推广费。 2010年，中国互联网新增了两大类木马：绑架型木马、网购木马。

五、病毒木马与钓鱼网站相互“勾结”越发突出五、病毒木马与钓鱼网站相互“勾结”越发突出同欺诈下载一样，钓鱼网站也是一种低技术含量的威胁，但网站采用的骗术却能屡屡得手。而数字大盗病毒实现了病毒技术和钓鱼网站近乎完美的结合，给网购用户构成严重威胁。大量病毒木马会在用户桌面弹出钓鱼网站的广告页面，用低价、中奖等诱饵，令网民上当受骗。

病毒传播的主渠道 病毒木马感染的最终目的是篡改浏览器、弹出广告、分发盗号木马、推广流氓软件来赚取推广分成；通过推广钓鱼欺诈网站来诱骗用户上当受骗；网购木马通过劫持篡改网购定单，强行将网民在线购物的款项转到自己的帐户。

病毒传播的主渠道——传播渠道的互联网化 • 据2010年数据显示，病毒木马有82.2%是通过下载行为感染计算机。统计数据表明，93.2%的病毒传播渠道直接与互联网有关。通过U盘等移动存储介质传播的占6.8%。而这些U盘病毒也是先通过网络感染计算机，再感染中毒计算机上使用过的U盘，实现局部反复传播。病毒入侵后的主要破坏，如网游盗号、弹广告、篡改浏览器、下载流氓软件必须依赖于互联网的畅通。

病毒主要侵害的高危人群——互联网热门应用成主要目标病毒主要侵害的高危人群——互联网热门应用成主要目标根据金山毒霸拦截网络威胁数据统计显示，诸如网购用户、网游爱好者、视频达人等人群是病毒团伙的主要目标，尤其是直接关乎经济利益的网络购物等上网行为更是成为了黑客的首要目标。

网购类人群——数量小成功率高，经济损失严重网购类人群——数量小成功率高，经济损失严重 • 因网购木马的特殊攻击方式，导致网购受害用户呈现总体数量小，但成功率高，经济损失严重的现象。根据目前截获的网购木马分析显示，病毒木马传播者为求自身安全，并没有使用可以让病毒短时间大面积传播的渠道，而是大多利用QQ或淘宝旺旺一对一的行骗，这种行骗方式成功率非常高，若本地安全软件没能及时拦截，受害者多半会遭受经济损失。 • 另外，网购达人是钓鱼网站最主要的受害者。骗子往往先骗倒淘宝店主，再用店主的ID登录淘宝店，继续欺骗更多买家。

下载类用户——覆盖面最广的受害用户群体 • （1）网络视频爱好者这些网民喜欢看在线视频，有热门大片上映一定要先睹为快。与此同时，一部分专门分享盗版电影、热门影视剧、进口大片的网站成为毒源。这些在线视频网站，会利用热门视频或不良视频分享为诱饵，吸引这部分网民上勾。在这些网站下载视频，无一例外，会被推荐安装一些专用播放器，这些专用播放器中，捆绑病毒的概率接近100%。同时，在这些网站上，还会提供与视频浏览相匹配的大量广告链接，广告链接直接指向病毒下载地址。

（2）盗版游戏爱好者、游戏外挂使用者游戏玩家的数量仍然庞大，盗号木马的传播主要依赖网页挂马这个通道，当网页挂马基本无效之后，盗号集团将传播渠道转移到那些伪装成游戏外挂的软件下载站或网盘中。（2）盗版游戏爱好者、游戏外挂使用者游戏玩家的数量仍然庞大，盗号木马的传播主要依赖网页挂马这个通道，当网页挂马基本无效之后，盗号集团将传播渠道转移到那些伪装成游戏外挂的软件下载站或网盘中。 • 病毒传播者会利用游戏相关论坛、贴吧以及游戏内的聊天频道，传播外挂、插件有关的消息，吸引玩家下载。部分外挂插件下载站的经营者也非常狡猾，这些站点在多数时间提供正常软件下载，但会在某个特定的时间将下载链接替换成病毒下载。

第九章 互联网安全与病毒