2010cncert病毒报告
2010年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告
图1 2010年发生网络安全事件类型 图2 2010年网络安全事件发现途径图3 2010年网络安全事件原因(二)2010年网络安全管理情况调查表明,各单位普遍采取了建立安全组织确定安全责任人、进行口令加密和访问控制、冗灾备份、日志留存等安全管理制度和技术措施。
图4 2010年网络安全产品使用比例图5 2010年采取安全管理和技术措施比例图8 计算机病毒传播的主要途径(三)计算机病毒造成的损失情况调查结果显示,2010年计算机病毒主要造成密码、账号被盗、受到远程控制、系统(网络)无法使用、浏览器配置被修改等破坏后果,与图9 2010年病毒造成的主要危害情况(四)2010年传播最广的十种计算机病毒1. “木马下载器”(Troj_Downloader)及变种2. “代理木马”(Troj_Agent)及变种图6 历年病毒感染比例曲线图图7 历年病毒重复感染率比较(二)我国计算机病毒传播的主要途径通过调查发现,我国计算机病毒主要通过电子邮件、网络下载或浏览、局域网和移动存储介质等途径传播。
调查结果显示,2010年病毒通过电子邮件、网络下载或浏览、局域网传播的比例图10 2010年移动终端产品使用操作系统比例(二)移动终端产品安全状况调查显示,感染手机病毒和恶意流氓软件扣费是移动终端遇到的主要安全问题,分别占调查图11 2010年移动终端病毒造成的主要危害图12 2010年移动终端病毒感染途径(四)2010年传播最广的十种移动终端病毒1. 短信海盗(Lanpackage.C)2. 僵尸网络之进化(FC.ThemeInstaller.A)3. QQ盗号手(AT.QQStealer.B)图13 2010年各省被抽查网站总体安全情况图14 2010年全国被抽查网站安全漏洞类型分布。
2010年国内典型信息安全事件
网络传销 湖南破获跨国网络传销案
2010年9月,湖南警方成功破获一起总部在 深圳,服务器在美国,传销网络遍布我国十余省 市及日本和泰国的台湾大跨国网络传销案,涉案 金额达3.9亿元。
云南 广东 香港
台湾
僵尸电脑 台北市成全球僵尸电脑最多城市
据赛门铁克2010年发布的网络安全威胁报告 显示,台北市现已成为全球拥有僵尸电脑最多的 城市,占全球僵尸电脑数量的5%。
重刑 男子办淫秽网站被判无期
2010年3月8日,河北唐山市中级人民法院对王某等9人非法 开办淫秽网站一案一审宣判:网站开办者王某被判处无期徒刑, 网站的管理员、版主等8人判处两年六个月至六年不等的有期徒 刑。
篡改数据 黑客受雇潜入人事网篡改数据被判刑
因受雇潜入广东人事网篡改查询数据,为假 证“转正”,并添加10多个虚假职称人员的资 料,2010年1月26日,24岁的朱某以非法入侵计 算机信息系统罪被判处有期徒刑。
CNITSEC 中国公安机关年内抓获460余名网络犯罪嫌疑人
截至2010年11月底,全国公安网络安全保卫部门共破获 黑客攻击破坏违法犯罪案件180起,抓获各类违法犯罪嫌疑人 460余名,打掉14个提供黑客攻击程序、教授黑客攻击犯罪方 法并涉嫌组织黑客攻击破坏活动的网站。
2010年我国处理钓鱼网站数量同比上涨136%
有关资料显示,截至2010年11月底,我国累计认定并 处理钓鱼网站32496个,其中,2010年1月—11月,相关部 门累计认定并处理钓鱼网站20570个,较去年同期大幅上涨 136%。
情况看,我国大陆地区有数百万 个IP地址对应的主机被木马程序控 制,有数十万个IP地址对应主机被 僵尸程序控制,众多中国大陆地 区政府网站被篡改。恶意代码、 漏洞报告次数仍然较多,网络犯 罪和网上诈骗事件屡有发生。
2010年我国计算机和移动终端病毒疫情调查技术分析报告
friv sg t nada ayi ti y a, ihhsi otn g ic c nuetescrt eeo met f iee o et ai n ls s erwhc a n i o n sh mp r t inf a et e sr eui dv lp n n s a s in o h y o Ch
一
张健 一 ,舒 心 , 刘威 ,杜 振 华 ,
2 南开大学信 息技 术科 学学 院,天津 3 0 7 ; . 0 0 1
(. 1 国家计算机 病毒应 急处理 中心 ,天津 305 ; 047
3 天 津市公安局 公共信 息 网络安 全监察 总队 , 津 3 0 2 . 天 0 0 0)
mo ieitr c. bl n e t a
Ke ywor s viu ; o ietr ia;e de i iuain; u v y d : r s m b l e m n l pi m cst to s r e
1我 国计算机 和移 动终端病毒疫情调查活动简 介
为掌握我 国信息网络 安全和计算机 病毒疫情现状 和发 展变化趋势, 自 2 0 年 4 从 01 月,公安部首次 主办了我国计 算机病毒疫 情 网上调查 工作 以来 ,至 2 1 已经 是第 十次调查活动 。本次调查活动从 2 1 00年 0 0年 1 月 2 1 O日至 l 2 2月 O日,由公安 部网络安全 保 卫局 主办,各 省区市公 安厅、局 网络 安全保 卫部门、国家计 算机病 毒应急处理 中心、国家反计算机入侵 和防病毒研 究 中心以 及新浪 网站 承办,国内主要计算 机病毒 防治厂商提供 技术支持 ,重点调查 我国互联 网接入服 务单位 、互联 网数据 中心、大型互 联网站 、重 点联 网单位 、计 算机 、移动终端用 户 2 1 以来发生 网络安全 事件 状况以及感染 计算机病毒状 况。特别是,针对我 00年 国智能手机等移动终端用户数量增长迅 速,面临 的安全风 险逐 步增 加的形势 ,公安部首次将移动终端 的安 全情况纳入调查范围。
2010年度法定传染病疫情分析
2010年度法定传染病疫情分析了解洋县法定报告传染病流行特征和趋势,为完善防控策略与措施提供科学依据。
方法用描述流行病学方法统计分析2010年洋县法定传染病疫情资料。
结果2010年无甲类传染病报告;共报告乙、丙类传染病18种,2482例,报告发病率628.51/10万,与去年同期相比上升了85.43%;其中乙类传染病12种1016例,与去年同期相比下降了11.49%;丙类传染病6种1466例,与去年同期相比上升了669.98%;乙类传染病中居前五位的分别为病毒性肝炎、肺结核、梅毒、细菌性痢疾、麻疹,占乙类传染病报告总数的97.93%;丙类传染病中以手足口病发病数最多,占丙类传染病报告总数的69.17%,与去年同期相比上升了4316.99%。
结论血源及性传播疾病(病毒性肝炎、梅毒)、肠道传染病(细菌性痢疾)、呼吸道传染病(肺结核、麻疹、流行性腮腺炎)以及手足口病是今后防治的重点传染病,应不断加强监测,有针对性的采取预防控制措施。
[关键词] 法定传染病;发病率;流行特征洋县位于陕西省汉中市东部,下辖26个乡镇,367个行政村,总面积3206km2,常住人口39万,流动人口5万。
为及时掌握洋县传染病疫情的发病情况、流行特征和变化趋势,并通过发病特征提出有效的防控措施,指导今后的传染病防治与管理工作。
本研究统计分析了洋县2010年法定传染病疫情状况,现将结果报告如下。
1 材料与方法1.1资料来源资料来源于洋县2010年传染病报告系统常规疫情监测数据。
人口资料来源于洋县统计局。
1.2方法对资料进行统计、汇总、分类,对传染病疫情资料进行描述性分析。
2 结果2.1 发病概况根据国家疾病监测信息报告系统传染病网络直报统计,2010年全县未发生甲类传染病,共报告乙、丙类传染病18种2482例,报告发病率628.51/10万,与去年同期相比上升了85.43%。
其中乙类传染病12种1016例,发病率为257.28/10万;与2009年(发病率209.67/10万)相比下降了11.49 %。
网络安全事件调查报告
网络安全事件调查报告在过去的2010年,病毒、木马数量逼近千万,系统漏洞、应用软件漏洞等层出不穷,隐私数据丢失、虚拟财产被窃等事件不断显现,用户正遭受着越来越严重的网络安全威胁。
而在这幕后,则是以牟利为目标的病毒制造者们的社会化协作,病毒产业的互联网化。
病毒技术不断更新,而各安全厂商也在不断提升自身的安全技术,这两者之间的博弈似乎永无终止。
而与此同时,安全厂商之间的竞争也越来越激烈,免费、云安全,安全厂商们角逐在一个又一个战场,最高潮事件当属腾讯与奇虎360之间的“大战”,让网民意识到安全的重要性以及对安全行业有了更深入的了解。
一、2010年网络安全行业大事件1.“极光”漏洞导致谷歌受攻击所谓极光攻击事件指,谷歌在一月份承认他们的许多重要知识财产在去年十二月份被网络非常入侵所窃取。
与此同时,另外还有十二家高科技和业内公司受到了同样的攻击。
2.中国ISP劫持互联网一家名为IDC China Telecommunication的小型中国网络服务供应商首先发出了错误的路由数据,然后经过中国电信的二次传播,扩散到了整个互联网,这一事件导致全球的服务提供商都受到了影响。
该事件被列入到今年十一月份向美国国会提交的2010年美中经济和安全审议委员会报告中。
报告中称,今年4月8日,由于中国电信发出错误的路由信息,导致美国参议院、国防部以及国家航空及太空总署(NASA)等许多网站的电子邮件全部“绕道”中国传输,整个过程持续了18分钟。
中国电信对此表示,四月份的信息重新定向是一起事故。
Top3:微软“黑屏”事件3.迈克菲误杀事件迈克菲在四月份对病毒库文件进行更新时,误删Windows XP系统文件,导致部分用户电脑故障,这就是著名的迈克菲5958病毒定义文件。
误杀导致大量迈克菲客户的电脑出现类似微软的“蓝屏故障”并造成了拒绝服务攻击效果。
随后该公司总裁兼首席执行官Dave DeWalt出面道歉并提供了故障解决方案,不过一些愤怒的客户认为迈克菲做的还不够。
CNCERT发布2010年2月网络安全数据
1Logo :CNCERT 2010年2月网络安全数据主机控制、网页篡改和垃圾邮件网络安全的三重门文/焦绪录 徐娜最新数据显示,目前我国网络安全情况越发严重,可能给我国整体网络安全方面会造成负面影响。
其中,主机控制方面,广东、山东、江苏成为重灾区;网页篡改数量呈现增长态势;传统的垃圾邮件给用户带来了较差的体验,造成投诉比最大的网络安全事件。
广东山东江苏成为重灾区截至2月底,CNCERT 监测发现我国大陆地区64411个IP 地址对应的主机被其他国家或地区通过木马程序秘密控制,同种类木马感染量较上月57247个环比下降5%(?)。
其中,数量最多的地区分别为广东省9492个(占中国大陆14.74%)、山东省4611个(占中国大陆7.16%)和江苏省4599个(占中国大陆7.14%)。
秘密控制我国大陆计算机的境外木马控制服务器IP 有79560个,同种类木马控制服务器数量较上月14603个环比下降48%。
图说: 中国大陆木马受控主机IP 按地区分布图说:通过木马程序控制中国大陆主机的境外IP按国家和地区分布截止2月,CNCERT监测发现我国大陆54890个IP地址对应的主机被其他国家或地区通过僵尸程序秘密控制,与上月的54418个相比增长1%。
其中,数量最多的地区分别是广东省6063个(占中国大陆11.05%)、河南省5003个(占中国大陆9.11%)和上海市4417个(占中国大陆8.05%)。
秘密控制我国大陆计算机的境外僵尸网络控制服务器IP有1055个,与上月的1887个相比下降44%。
图中国大陆僵尸网络受控主机IP按地区分布23图 通过僵尸程序控制中国大陆主机的境外IP 按国家和地区分布网页篡改数量增长截止2月,我国大陆地区被篡改网站的数量为2304个,环比增长22%,其中代号为“HEXB00T3R ”、“Hmei7” 和“aGReSiF ”的攻击者对大陆政府网站进行了大量篡改。
我国香港被篡改网站数量为40个,较上月减少34个,我国台湾被篡改网站数量为15个,较上月减少2个。
CNNIC第54期《互联网发展信息与动态》
美国 德国 英国 中国 加拿大 法国 澳大利亚 日本
70,595,728 6,145,864 4,110,487 3,763,062 3,656,062 2,858,529 2,432,610 1,784,336
《互联网发展信息与动态》是中 国互联网络信息中心(CNNIC) 定期对全球互联网相关信息进行 搜索整理所得,供领导、专家参 考。
中国互联网络信息中心动态 ..................................................... 17 附录:常用英文缩写注释 ........................................................ 19
注:此处的网民数是根据CNNIC历次调查数据推算出的数据,仅供内部参考。如需引用, 请注明“据CNNIC测算” 。
2. 网络安全统计数据
网民遭遇的网络安全事件及损失情况
CNNIC 发布的《2009 年中国网民网络信息安全状况系列报告》显示,2009 年,52%的网民曾遭遇过网络安全事件。
图 1 2009 年网民遭遇安全事件的情况
2
互联网发展信息与动态
第 54 期
图 2 网民遭遇安全事件的诱因
遭遇过网络安全事件的网民一般是通过很直观的方式来判断遭受攻击的, 通 常是在使用计算机的过程中发现异常。71.9%的网民发现浏览器配置被修改, 50.1%的网民发现网络系统无法使用,45%的网民发现数据、文件被损坏,41.5% 的网民发现操作系统崩溃,而发现 QQ、MSN 密码、邮箱账号曾经被盗的网民占 32.3%。
移动互联网恶意程序监测与处置机制
一是《机制》规定,CNCERT认定恶意程序后,各单位根据认定结果各自开展监测,并对发现的恶意程序控制 服务器进行处理,切断其对用户手机的远程控制,使用户免受更大侵害。二是根据监测结果,发生较大及以上等 级的恶意程序事件时,要求移动通信运营企业向本单位服务的手机用户进行信息提示和查杀技术咨询。三是对于 涉嫌制作、传播恶意程序或利用恶意程序牟利的移动互联网服务供应商和其他合作伙伴,要求移动通信运营企业 根据协议,对其进行处理,并报政府管理机构依法处罚,以打击不法行为。
移动互联网恶意程序监测与处 置机制
依据中华人民共和国电信条例、公共互 联网网络安全应急预案制定的机制
目录
01
02 权威解读
《移动互联网恶意程序监测与处置机制》是依据《中华人民共和国电信条例》、《公共互联网网络安全应急 预案》制定的机制。
第一条为净化公共互联网网络环境,保护用户权益,维护网络安全,有效防范和处置移动互联网恶意程序, 依据《中华人民共和国电信条例》、《公共互联网网络安全应急预案》,制定本机制。
感谢观看
工业和信息化部于2010年委托CNCERT开展移动互联网恶意程序治理机制研究,指导中国移动在江苏、广东两 地开展监测和处置试点,多次听取试点情况汇报并实地调研,在此基础上,制订了《机制》(征求意见稿)。之 后,两次征求各地通信管理局,移动通信运营企业和中国互联网络信息中心等单位和专家的意见。不断修改完善, 形成《机制》发布稿。
一是加强技术手段建设。目前移动通信运营企业和CNCERT监测处置移动互联网恶意程序的技术手段还不完善, 下一步,我部将督促指导各单位加强相关技术手段建设。
二是完善配套标准。开展移动互联网恶意程序监测处置工作,亟需配套标准支撑。工业和信息化部正在组织 中国通信标准化协会研究制订《移动互联网网络安全监测体系架构》、《移动互联网网络安全监测技术要求》、 《移动互联网恶意程序疑似样本报送接口规范》等行业标准。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2“您的计算机被控制了吗?”—恶意代码监测情况恶意代码主要包括计算机病毒、蠕虫、木马、僵尸程序等。
计算机病毒和蠕虫几年前是最为常见的恶意代码类型,对用户计算机的破坏力也较强。
近年来,随着黑客地下产业链的进化,木马和僵尸程序以及一些助长其传播的恶意代码成为了黑客最经常利用的手段,也成为了用户侧安全防范的主要对象。
通过对恶意代码的捕获和分析,可以评估互联网及信息系统所面临的安全威胁情况,掌握黑客最新攻击手段,以进一步深入研究信息系统必需的防护措施。
木马和僵尸程序都是非常有效的远程监听和控制手段,尤其是在网络失窃密和发动DDoS攻击方面,对政府部门、商业机构以及普通用户造成了严重危害,因此,国家互联网应急中心(以下用英文简称CNCERT代替)对这两类恶意代码进行了重点监测1。
2.1 木马数据分析木马是以盗取用户个人信息,甚至是以远程控制用户计算机为主要目的的恶意代码。
由于它像间谍一样潜入用户的电脑,与战争中的“木马”战术十分相似,因而得名木马。
按照功能分类,木马程序可进一步分为:盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马七类。
2010年CNCERT抽样监测结果显示,在利用木马控制服务器对主机进行控制的事件中,木马控制服务器IP总数为479626个,较2009年下降21.3%,木马受控主机IP总数为10317169个,较2009年大幅增长274.9%。
木马控制服务器分析2010年,境外木马控制服务器IP数量约有22万个,较2009年有所增长,增幅为34.1%,而境内木马控制服务器IP数量为近26万个,与2009年相比则下降了41.9%,具体如图2-1所示。
12010年CNCERT主要对153种木马家族和57种僵尸网络家族进行了抽样监测。
图2-1 2009年与2010年木马控制服务器数据对比境内木马控制服务器IP 绝对数量和相对数量(即各地区木马控制服务器IP 绝对数量占其活跃IP 数量的比例)前10位地区分布如图2-2所示,其中:广东省、山东省、浙江省居于木马控制服务器IP 绝对数量前3位,西藏自治区、陕西省、广西壮族自治区居于木马控制服务器IP 相对数量的前3位。
图2-2 2010年境内木马控制服务器IP 按地区分布图2-3所示为2010年境内木马控制服务器IP 数量按运营商分布及所占比例,木马控制服务器IP 数量无论是绝对数量,还是相对数量(即各运营商网内木马控制服务器IP 绝对数量占其活跃IP 数量的比例),位于中国电信网内的数量均排名第一。
图2-3 2010年境内木马控制服务器IP按运营商分布境外木马控制服务器IP数量前10位按国家和地区分布如图2-4所示,其中:美国、印度、中国台湾居于木马控制服务器IP数量前3位。
图2-4 2010年境外木马控制服务器IP按国家和地区分布木马受控主机分析2010年,境内共有451万余个IP地址的主机被植入木马,境外共有580万余个IP地址的主机被植入木马,数量较2009年均有较为明显的增长,增幅分别达到了1620.3%和133.1%,具体如图2-5所示。
图2-5 2009年与2010年木马受控主机数据对比2010年木马受控主机IP数量呈现增长趋势,并在2010年下半年出现激增现象,原因是自2010年6月起,CNCERT的监测范围新增了下载者木马、窃密木马、盗号木马、流量劫持木马和部分新型远程控制木马等。
2010年木马受控主机IP数量、境内木马受控主机IP数量、境外木马受控主机IP数量的月度统计分别如图2-6、图2-7、图2-8所示。
图2-6 2010年木马受控主机IP数量月度统计图2-7 2010年境内木马受控主机IP数量月度统计图2-8 2010年境外木马受控主机IP数量月度统计境内木马受控主机IP绝对数量和相对数量(即各地区木马受控主机IP绝对数量占其活跃IP数量的比例)前10位地区分布如图2-9所示,其中:广东省、湖南省、浙江省居于木马受控主机IP绝对数量前3位,陕西省、广西壮族自治区、湖南省居于木马受控主机IP相对数量的前3位,这在一定程度上反映出经济较为发达、互联网较为普及的东部地区因网民多、计算机数量多,使得该地区的木马受控主机IP绝对数量处于全国前列,而中西部地区因经济欠发达,虽网民相对较少、计算机总数较少,但相应计算机安全防护措施也更为薄弱,导致该地区木马受控主机IP占该地区活跃IP数量的比例较高,反映出该地区木马受灾较为严重。
图2-9 2010年境内木马受控主机IP按地区分布图2-10所示为2010年境内木马受控主机IP数量按运营商分布及所占比例,木马受控主机IP数量无论是绝对数量,还是相对数量(即各运营商网内木马受控主机IP绝对数量占其活跃IP数量的比例),位于中国电信网内的数量均排名第一。
此外,在CNCERT监测到的木马受控主机IP中,有相当一部分IP属于动态IP地址或是虚拟主机地址,据此可以判断,终端用户(如:拨号上网用户)或虚拟主机托管用户由于安全防护措施较弱,易成为黑客攻击的目标;当黑客攻击成功取得控制权后,其可成为黑客发动新的攻击行为的跳板。
图2-10 2010年境内木马受控主机IP按运营商分布境外木马受控主机IP数量前10位按国家和地区分布如图2-11所示,其中:中国台湾、美国、韩国居于木马受控主机IP数量前3位。
图2-11 2010年境外木马受控主机IP按国家和地区分布2.2僵尸网络数据分析僵尸程序是用于构建僵尸网络以形成大规模攻击平台的恶意代码。
僵尸网络是被黑客集中控制的计算机群,其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为,如可同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件等。
多年以前,当僵尸网络刚刚出现的时候,黑客往往是通过IRC协议来控制的。
随着恶意代码的发展,越来越多的僵尸网络被通过木马来控制,因此按照广义的概念也可以把感染木马并由同一组控制端控制的联网计算机也称之为僵尸网络,但在2010年的统计中,我们重点统计IRC和HTTP类型的僵尸网络。
2010年CNCERT抽样监测结果显示,僵尸网络控制服务器IP总数约为1.4万个,僵尸网络受控主机IP地址总数为562万余个,较2009年均有较大幅度下降,降幅分别达到39.6%和52.8%。
僵尸网络控制服务器分析2010年,境内僵尸网络控制服务器IP数量为7251个,较2009年增长72.9%,境外僵尸网络控制服务器IP数量为6531个,与2009年相比则下降了65%,具体如图2-12所示。
图2-12 2009年与2010年僵尸网络控制服务器数据对比2010年僵尸网络按规模分布如图2-13所示,控制规模在1千个主机IP以内的僵尸网络约占总数的99.1%,较2009年略增1.9%。
控制规模在1000以下、1000-5000、5000-20000、2万-5万、5万-10万以及10万以上的僵尸网络数量与2009年相比分别下降38.5%、65.4%、82.8%、94.7%、97.4%和93.9%。
从绝对数量上看,僵尸网络的规模总体上继续保持小型化、局部化的趋势。
图2-13 2010年僵尸网络规模分布境内僵尸网络控制服务器IP绝对数量和相对数量(即各地区僵尸网络控制服务器IP绝对数量占其活跃IP数量的比例)前10位地区分布如图2-14所示,其中:广东省、北京市、浙江省居于僵尸网络控制服务器IP绝对数量前3位,江西省、辽宁省、江苏省居于僵尸网络控制服务器IP相对数量的前3位。
图2-14 2010年境内僵尸网络控制服务器IP按地区分布图2-15所示为2010年境内僵尸网络控制服务器IP数量按运营商分布及所占比例,僵尸网络控制服务器IP数量无论是绝对数量,还是相对数量(即各运营商网内僵尸网络控制服务器IP绝对数量占其活跃IP数量的比例),中国电信网内数量均排名第一。
图2-15 2010年境内僵尸网络控制服务器IP按运营商分布境外僵尸网络控制服务器IP数量前10位按国家和地区分布如图2-16所示,其中:美国、印度、土耳其居于僵尸网络控制服务器IP数量前3位。
图2-16 2010年境外僵尸网络控制服务器IP按国家和地区分布僵尸网络受控主机分析2010年,境内有47万余个IP地址的主机感染僵尸程序,境外有515万余个IP地址的主机感染僵尸程序,数量较2009年均有大幅下降,降幅分别为43.9%和53.4%,具体如图2-17所示。
图2-17 2009年与2010年僵尸网络受控主机数据对比2010年僵尸网络受控主机IP数量、境内僵尸网络受控主机IP数量、境外僵尸网络受控主机IP数量的月度统计分别如图2-18、图2-19、图2-20所示。
2010年3月起僵尸网络受控主机数量明显回落,这说明CNCERT持续开展的僵尸网络专项治理行动取得了一定成效。
因CNCERT的僵尸网络监测范围增加了新的监测特征,12月境内僵尸网络受控主机IP数量出现激增现象。
图2-18 2010年僵尸网络受控主机IP数量月度统计图2-19 2010年境内僵尸网络受控主机IP数量月度统计图2-20 2010年境外僵尸网络受控主机IP 数量月度统计境内僵尸网络受控主机IP 绝对数量和相对数量(即各地区僵尸网络受控主机IP 绝对数量占其活跃IP 数量的比例)前10位地区分布如图2-21所示,其中:广东省、浙江省、上海市居于僵尸网络受控主机IP 绝对数量前3位,黑龙江省、陕西省、江西省居于僵尸网络受控主机IP 相对数量前3位。
这与境内木马受控主机分布情况类似,东部沿海地区僵尸网络受控主机IP 绝对数量较多,而中西部地区僵尸网络受控主机IP 占该地区活跃IP 数量的比例则较高。
图2-21 2010年境内僵尸网络受控主机IP 按地区分布图2-22所示为2010年境内僵尸网络受控主机IP 数量按运营商分布及所占比例,中国电信网内感染僵尸程序的受控主机IP 绝对数量最多,中国联通网内感染僵尸程序的受控主机IP 相对数量(即各运营商网内僵尸网络受控主机IP 绝对数量占其活跃IP 数量的比例)最多。
与木马受控主机情况类似,在国家互联网应急中心协调运营商处置的僵尸网络受控主机中也有相当一部分主机IP属于动态IP地址或是虚拟主机地址。
木马和僵尸程序都是黑客用来控制用户主机的最为常见的手段,也是当前对互联网运行安全最为严重的威胁之一,木马和僵尸网络受控主机(包括一些IDC主机)已成为黑客构建大规模网络攻击平台的主要资源。
图2-22 2010年境内僵尸网络受控主机IP按运营商分布境外僵尸网络受控主机IP数量前10位按国家和地区分布如图2-23所示,其中:美国、印度、泰国居于僵尸网络受控主机IP数量前3位。
图2-23 2010年境外僵尸网络受控主机IP按国家和地区分布2.3“飞客”蠕虫数据分析当前黑客地下产业中,以盗号木马、窃密木马、网银木马等为代表的木马类恶意代码比较流行,与之相比,蠕虫这种能造成大范围快速传播和影响的恶意代码显得较为“古典”。