1月25日，Web安全網關廠商安啟華公司發布《2009年第四季度威脅報告》。

Malware威脅概況

本季度Anchiva安全實驗室共截獲各類Malware約200萬，比上季度大幅上升。木馬所占的比例與上季度相比略為上升，仍占一半以上。其余依次為蠕蟲、后門程序、間諜軟件、風險軟件和廣告軟件，傳統病毒和其它類別所占比例與上季度沒有變化。

2009年第四季度Malware類別比例圖

Web Malware Top20

本季度的Web威脅中，網頁腳本類占絕大多數，其出現頻率最高的前20個Malware如下圖所示。相較于第三季度，有些Malware依然很活躍。顯示出當前流行的攻擊方式依然是通過網頁進行漏洞利用。這些Malware多數被掛馬集團所利用，下載Spyware、Banker等木馬，竊取敏感信息或進行系統破壞。攔截這些惡意腳本，可以有效的破壞其“掛馬－下載惡意軟件－造成破壞”這一工作鏈，從而減少損失。

Web Malware Top20

Email Malware Top20

根據Anchiva Malware監測網的監測結果，本季度的郵件威脅中，出現頻率最高的前20種Malware如下圖所示。一份美國聯邦調查局發出的警告稱，詐騙分子利用假冒的殺毒軟件在09年獲得了超過1.5億美元的非法收入。從下圖我們的統計也可看出，假冒殺毒軟件的傳播活動在第四季度的確非常頻繁。它們通過垃圾郵件發送到受害者機器上，并誘使受害者打開、執行附件。隨后彈出一個假的警告，報告電腦中存在著惡意軟件，并強制要求受害者注冊，才能清除那些所謂的“惡意軟件”。

Email Malware Top20

惡意網站Top20

根據Anchiva Malware監測網的監測結果，發布惡意軟件數量最多的前20個惡意網站如下圖所示。統計顯示前20位的惡意網站域名絕大多數都是“.cn”結尾。由于初期注冊.cn域名在國內比較容易，審核不嚴，后續監管不力，因而吸引黑客注冊了大量的.cn域名，專用于惡意軟件發布、升級。隨著09年12月后，中國互聯網信息中心（cnnic）開始加強域名注冊信息審核，個人注冊.cn域名將越發困難。可以預見該類惡意網站會逐漸減少。

惡意網站Top20

大型社交網站Rockyou被入侵，3200萬用戶信息被泄露

09年12月份，國內外媒體爭相報道了轟動一時的rockyou.com泄密事件。黑客通過SQL注入漏洞攻擊rockyou.com，竊取該網站3200多萬用戶的密碼、個人資料等敏感信息，并把部分用戶資料公布在網絡當中。rockyou.com的用戶在注冊帳戶時，僅僅要求其密碼多于五位字符，并不要求字母、數字及符號混合的強密碼。它甚至不準用戶密碼中包含符號。rockyou.com會提示用戶輸入第三方網站的用戶名及密碼，比如facebook、myspace等社交網站。而糟糕的是，用戶們的所有這些密碼、個人資料等敏感信息在數據庫中并沒有被加密，而是完全可見的。在這一系列的錯誤之下，最終釀出被黑客入侵，用戶信息被竊取的惡果。

被公布的rockyou.com用戶密碼統計Top20

Adobe零日漏洞

第四季度以來，用于零日攻擊的Adobe漏洞如下：

· CVE-2009-3459

· CVE-2009-4324

以上兩個漏洞都被掛馬集團、定向攻擊等所利用，通過郵件附件或者掛馬者感染的網頁來傳播。在對受害者攻擊過程中，它們一般釋放或者下載其它惡意軟件，來達到遠程控制、竊取信息等目的。這類攻擊一般比較隱蔽，受害者可能僅僅不小心點擊了一個鏈接、打開了一個文檔，而攻擊者在釋放、下載惡意軟件的同時，一般會釋放出一個其它安全的文檔，以此麻痹受害者。

通過統計Adobe相關的09年CVE數目，我們發現總共有100個abode漏洞被上報。而隨著windows 7的發布，在其底層安全框架越發完善的情況下，windows平臺上可利用的漏洞將越來越難以發掘。不難推測在不久的將來，Adobe Reader等第三方的軟件將越來越受到黑客的青睞，更多的pdf、flash等漏洞將被應用于攻擊中。

下圖是Anchiva某客戶第四季度中截獲的利用PDF漏洞進行攻擊的部分實例。

利用Adobe PDF漏洞的攻擊攔截記錄

微軟IIS畸形文件擴展名繞過安全限制漏洞

微軟IIS服務程序在解析文件擴展名時存在漏洞，對形如“malicious.asp;.jpg”的文件，將會以ASP文件方式在服務器上執行。黑客在攻擊web服務器時，就可以利用該漏洞，上傳webshell，從而控制該服務器，造成破壞。微軟認為這只是服務器權限設置缺陷，并不打算釋放相應的補丁。我們建議不僅要按時打系統補丁，同時限制上傳文件目錄的可執行權限，以此來避免該類漏洞的利用。

畸形文件擴展名攻擊實例

內網肆虐橫行的Conficker

Conficker蠕蟲傳播途徑很多，它可以通過U盤、RPC漏洞、p2p共享等方式在內網橫行。一旦某臺機器中毒，它會通過掃描的方式，在內網尋找有RPC漏洞、弱口令的windows機器。如果該機器還有外網IP，它同時會掃描設定的外網IP列表，并伺機向外傳播。因此發現某臺機器中了該毒，必須馬上斷開網絡連接，使用殺毒軟件徹底查殺，再安裝好系統補丁，才能徹底清除干凈該蠕蟲。

某客戶內網中Conficker的部分攔截記錄

釣魚網站

Twitter、facebook等社交網絡服務在2009年第四季度取得了更大的發展，用戶數節節高升。人們通過它們交友、學習、聊天，甚至進行商業活動。而隨著新浪微博客、twitter、facebook等社交網絡服務的逐漸流行，針對該類網站的釣魚網站日漸增多。延續上一季度的威脅，淘寶、QQ等國內網站依然是釣魚者針對國內用戶主要的攻擊對象。

拍拍網釣魚網站

某客戶中攔截的社交釣魚網站部分實例