本报告为奇虎360安全中心发布的研究数据和分析资料.该报告的主要数据来源于奇虎360安全中心、360安全论坛.报告主要针对2007年上半年中国互联网用户面临的安全威胁,尤其是恶意软件泛滥所导致的安全问题进行进行分析、研究和统计的结果.
本报告可供任何个人、政府相关部门及行业机构、企事业单位参考,但对于本报告所阐述之内容、数据及分析结果,奇虎公司不承担与此相关的一切法律责任.

目录

第一章 2007年互联网安全威胁发展趋势

(一) 恶意软件超过病毒成为最主要的安全威胁

(二) 以弹出广告、篡改浏览器为目的的恶意软件得到遏制,持续萎缩

(三) 木马程序成为新的主要安全威胁

第二章 木马盗号对用户造成的损失

(一) 即时通讯领域

(二) 网络游戏

(三) 网上支付和网上炒股

第三章 木马程序盗号技术分析

(一) 木马程序盗号流程

(二) 木马程序是如何侵入用户电脑的

(三) 木马程序盗号的主要技术手段

(四) 仅仅依靠杀毒软件难以有效解决木马盗号问题

第四章 木马盗号防治建议

(一) 及时打补丁,增强系统免疫力

(二) 阻断木马传播途径

(三) 查杀木马

(四) 采用有针对性的木马保护

(五) 群治群防,打一场反盗号的人民战争

名词解释

电脑病毒:所谓电脑病毒是指编制或者在电脑程序中植入的破坏电脑功能或者毁坏数据，影响电脑使用，并能自我复制的一组计算机指令或者程序代码

恶意软件:恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。包括：间谍软件（spyware）、广告软件（adware）、浏览器劫持（hijacker）、木马程序（trojan）

报告正文

第一章 2007年互联网安全威胁发展趋势

(一) 恶意软件超过病毒成为最主要的安全威胁

从2006年12月至2007年7月，奇虎360安全中心截获病毒、恶意软件及木马程序共计168135个，其中病毒35308个，恶意软件及木马类程序132827个，恶意软件及木马类程序的数量之和占据了近80%的比例：

 由此可见，与传统的依靠复制和感染文件传播自身的病毒及蠕虫相比，恶意软件及木马程序已经成为网民上网安全的最主要威胁。

(二) 以弹出广告、篡改浏览器为目的的恶意软件得到遏制，持续萎缩

2005年开始，以弹出广告、篡改浏览器首页、劫持浏览器等为目的的恶意软件在中国互联网上 肆意泛滥。自2006年下半年开始，恶意软件的泛滥引起了网民的极大愤慨，也激起了社会舆论的强烈关注，各大安全厂商也提供了多种清除恶意软件的工具。经 过一年来的持续打击，恶意软件泛滥的势头得到了有效的遏制，恶意软件的数量持续萎缩。

以下为自2007年1月至7月底用户每日使用360安全卫士清除的恶意软件(恶评软件)的次数,从去年下半年以来,用户每日使用360安全卫士主动清除的恶意软件次数不断上升,到2007年4月达到高峰,最高时每日超过542万次,此后用户每日清除恶意软件的次数开始逐渐下降:


(三) 木马类程序成为新的主要安全威胁

以获取经济利益为目的的木马程序数量日益泛滥。随着网络游戏、QQ聊天软件、网上银行和网上 炒股、网上购物等互联网应用的日益流行，用户在这些应用中的账户，变得越来越有经济价值。且不说网上银行、网上炒股、网上购物中的帐号直接关系到用户在现 实世界中的财产，即便是网络游戏中的道具、装备，或者QQ中的Q币 、QQ秀等虚拟物品，由于可以在C2C平台以及众多专业网站上进行交易，因此也具有了非常高的经济价值。因此现在有越来越多的网络犯罪份子，编写及传播木马类程序，其目的就是为了窃取网民的帐号信息，从而获取经济利益。

中国互联网用户中大部分为普通网民，他们普遍缺乏对计算机安全的有效保护手段和意识。因此他们在互联网上可以说是步步惊心，稍有不慎即可能面临被盗号、蒙受经济损失。

用户举报次数最多10大木马程序

木马名称

木马行为

1

Backdoor/Win32.Agent.ahj

木马运行后衍生病毒文件到系统目录下，并删除自身，修改注册表，新建服务，并以服务的方式达到随机启动的目的

2

Trojan-PSW/Win32.Delf.wh

盗取计算机中的信息，包括游戏账号密码等

3

Trojan/Win32.Agent

win32平台下木马，通过代理网络等方式窃取用户信息，对用户造成伤害

4

Trojan/Win32.VB

WINDOWS下的PE病毒木马，修改注册表项，开机自启动

5

Trojan/Win32.Autorun.bz

修改注册表，劫持浏览器，浏览器被强制关闭 双击打不开盘符，大部分安全软件无法使用，执行后下载其它恶意程序。

6

Trojan/Win32.Adload.bz

弹出广告，采用my123病毒技术；盗窃用户密码 、可下载更多恶意盗号木马；多数安全工具无法查杀；

7

Trojan/Win32.Small.dv

木马下载器，通过网页漏洞等传播，后台自动下载其它恶意程序。

8

Hack/Win32.Rizo.a

黑客程序，黑客通过该后门秘密控制受感染机器。

9

Hack/Win32.Agent.rp

该木马会悄悄地安装在用户机器上，修改注册表。

10

Trojan-Downloader/Win32.VB.bab

木马下载器，通过网页漏洞等传播，后台自动下载其它恶意程序。

木马程序的种类分布

第二章木马盗号对用户造成的损失

目前绝大多数盗号行为是通过侵入到用户计算机系统的木马类程序完成的。木马程序给用户造成的损害是显而易见的：

l 记录用户的键盘输入，盗取用户的网游、网银、聊天软件帐号，造成用户财产损失；

l 通过注入网游、网银、聊天软件以及浏览器，对用户行为进行监控，窃取并传输用户隐私资料；

l 占用更多的系统和网络资源，甚至造成正常使用电脑和上网；

即时通信、网络游戏、网上银行和网上炒股等应用所覆盖的用户群规模非常庞大。根据CNNIC于2007年7月18日发布的《第20次中国互联网络发展状况统计报告》，在中国的1.62亿网民中：

l 69.8%的用户（超过1亿用户）在使用即时通信软件（以腾讯QQ和MSN为主）；

l 47%的用户（超过7600万用户）玩过网络游戏；

l 20%的用户（超过3200万用户）使用网上银行和网上炒股；

因此，这几类互联网应用，成为黑客、木马制作者等不法分子攻击的主要目标。

(一) 即时通讯行业

根据360安全论坛（bbs.360safe.com）中由5366名网友参与的调查统计表明，有66.27%的用户丢失过QQ帐号。

由于QQ帐号中的QQ币、QQ秀等虚拟物品通过交易具有经济价值，以及QQ本身巨大的用户群、QQ软件本身的安全缺陷，使得QQ本身成为木马类软件攻击盗号的主要目标以及传播的主要途径：

1) 好的QQ号、Q币、QQ秀等都可以通过C2C平台或某些专业网站进行交易，因此QQ帐号本身是木马盗号的主要目标。有许多专门针对QQ的盗号木马，通过注入QQ的程序进程、挂接键盘钩子窃取用户键盘输入、读取QQ进程内存等手段窃取QQ帐号。

2) 很多QQ木马一旦侵入系统，就会自动向好友列表中的其他用户传送病毒或木马文件，发送广告消息等，从而传播并侵入到其他用户电脑中。

3) 木马会利用QQ向其他用户自动发送诱惑性的消息，诱使其他用户点击消息中的网页链接，而这些网页链接要么是含有恶意网页，通过恶意脚本在其他用户电脑中植入木马，要么是钓鱼网页，试图直接骗取用户的网银帐号、支付宝帐号、网游帐号等。

4) 木马程序还可以截获用户在QQ中的聊天消息，如果用户通过QQ发送信用卡信息、银行账户等敏感信息，就极有可能被木马程序窃取。

5) 虽然QQ本身提供了QQ医生的功能，会在QQ登录时自动扫描电脑中的木马程序，但是由于QQ医生这样的木马查杀工具无法与专业的安全厂商一样具有对大量的 木马程序广泛的采集、监控和分析能力，以及现有木马查杀技术本身的局限性，导致QQ医生目前并不能有效保护用户的帐号安全。

(二) 网络游戏

根据360安全论坛（bbs.360safe.com）中由370名网友参与的调查统计表明，也有65.47%的用户丢失过网游帐号。因为丢失网游帐号导致用户跳楼或到游戏公司门口自焚等极端事件也屡见于报端，网游盗号已经成为影响网游应用健康发展的重要障碍。

针对网游盗号的问题，部分网游厂商采取了一些针对性的措施，例如：

1) 部分网游会自行研发一些反木马工具，或者采用第三方的反外挂软件来防止外挂程序，兼防止木马盗号。目前国内多数具有一定安全机制的网游采用的是韩国的著名 反外挂软件NP（NProtect），NP具有防止DLL注入、反调试、防止与未授权服务器通信等功能，但是由于NP软件的源码在2007年初被泄露，其 后续版本在功能上也没有太多改变，这就给中国大量制作外挂程序和盗号木马的人提供了便利，使得能够突破NP保护的木马也在不断出现。

2) 使用口令密码保护方法，例如盛大密保，魔兽游戏的矩阵式口令卡等。这种方式比单纯的软件口令保护要更安全一些，提高了木马程序盗号的难度。但是仍然有木马 程序能够破解，例如最近出现的可以破解魔兽矩阵口令卡的木马程序。另外，使用U盘等独立硬件方式的密保，由于成本的问题，也并非所有用户都在使用。所以实 际上大量用户仍然面临盗号的巨大风险。

（三）网上银行和网上炒股

银行排队难成为一个突出的社会问题，为了解决这个问题，众多商业银行一直在推行网上银行业务。但是由于各个银行不具备足够的安全技术方面的基础，使得用户网银帐号被盗，资金被转走，蒙受巨大经济损失的案件不断见于报端。

1) 网上银行和网上支付平台的安全问题

目前各银行的网银业务（包括很多第三方支付平台，例如支付宝），很多只是提供了基于IE浏览 器的操作方式（仅有招商银行提供专业版的网银客户端软件），并要求用户安装一个安全输入控件，以保护在浏览器输入的帐号信息不被窃取。但是这种安全手段是 较为低级的，很容易被木马程序破解。

为了进一步增强网银安全性，不少银行开始推行基于移动介质的数字证书（一个特殊的存储用户帐 号认证信息的加密文件），例如工行U盾、招行优Key等。这种方式要求用户平时不能把数字证书存储在电脑本机中，而是存储在移动介质（例如U盘）中，同时 在登录网银时，网银服务器和用户电脑之间会传送数字证书，利用基于PKI的密钥机制来验证数字证书文件的有效性，只有通过验证才允许用户登录。有了数字证 书，即使用户的用户名和口令被盗，但是如果盗窃者没有用户的数字证书的话，也是无法登录网银的。另外，即使盗窃者连数字证书文件也拿到了，由于在另一台电 脑上导入数字证书时，网银服务器也会问用户事先设定的一系列验证问题，只有回答正确才能导入成功，这也加大了盗窃的难度。

但是数字证书的方法也并非完美。一方面移动数字证书有成本，不少用户不愿意去买。另外，如果 用户的电脑上有黑客或后门类的木马程序，并且已经窃取了用户的网银帐号用户名和口令，盗窃者就可以远程操纵用户电脑，运行用户的网银客户端，输入窃取来的 用户名和口令，就能登录用户的网银了，这和用户本人操作完全无法分别，而且这些远程操纵可以做到非常隐蔽，难以被用户发觉。

2) 网上炒股的安全问题

据统计中国目前有超过1亿的股民，其中多数为新入市的股民，其中有不少于20%的股民在网上炒股。这些新股民缺乏必要的安全意识和技术手段，也成为盗号木马攻击的目标。

一旦被木马程序侵入电脑，股民们将会面临巨大的财产损失风险：

a) 不少股民在网上炒股时，其证券帐号与银行资金帐号往往使用相同的用户名和口令，所以一旦木马程序从炒股软件中窃取了用户帐号，就能通过网上银行去窃取用户银行帐号中的资金。

b) 在券商提供的炒股下单软件中，也会包含一定的安全保护模块。但同样由于技术的专业性不够，无法提供持续有效的安全保护。

c) 虽然炒股下单软件中，用户的证券帐号与银行资金帐号是绑定的（资金只能在用户自己的证券账户与银行账户间互转），但是盗窃者一旦窃取了用户炒股软件的账 户，就可以通过股票的买卖操作使自己获利，同时使用户蒙受损失。例如盗窃者可以用一个明显超出市场价位的价格（例如涨停价）卖出某只股票，然后通过木马程 序操纵某些股民的炒股软件去买入这只股票，这样盗窃者就可以获取巨额收益，而股民们则蒙受重大损失。

第三章木马程序盗号技术分析

(一) 木马盗号流程

木马程序盗号示意图

 

由上图可见，木马盗号的过程基本上可以分为四个环节：

ü 通过特定的传播途径侵入用户电脑系统；

ü 注入特定的目标应用程序；

ü 窃取目标应用程序中的用户帐号信息；

ü 发送给盗窃者邮箱或远端服务器；

一般来说，木马程序一旦窃取了用户帐号信息之后，会采用电子邮件的方式发送给某个邮件地址， 或者访问某个远端服务器将窃取信息传送过去。而且这些操作都可以以隐蔽的方式执行，例如将窃取信息的发送混杂在用户自己发送电子邮件或使用浏览器的操作 中，这样一般的防火墙是难以甄别的，即使提示用户也无法判断。因此，防范木马盗号绝不能仅靠最后环节的防火墙监控，在前面几个环节就必须施加安全保护措 施。

木马程序常用技术手段分析

1) 木马程序是如何侵入用户电脑的

木马程序虽不像病毒一样复制自身并感染其他文件，但是在互联网时代，木马程序通过多种方式具有更强的传播性：

a) 恶意网页 ：用户在浏览网站时，某些恶意网站通过恶意脚本代码，即可利用系统漏洞在浏览者电脑中植入木马，令人防不胜防。

b) 移动存介质（例如U盘）：Windows系统默认开启了移动介质的自动运行功能，只要系统中一插入U盘，U盘中的木马程序就会被自动运行从而侵入电脑中，这就使得木马程序极易通过移动介质在不同电脑中传播。

c) 软件下载安装：现在用户可以在很多下载站点，或者使用BT、迅雷、快车等软件下载工具非常便捷地下载安装共享软件。但是很多共享软件中往往捆绑插件或木马程序，并且在用户不知情的情况下同时安装到电脑中。由于恶意软件的泛滥，很多软件作者通过软件捆绑来赚钱，他们往往并不会分辨所捆绑软件的好坏。甚至有些软件本身只是一个下载器（也可能会装扮成某个实用功能），它的真正目的就是在后台不断地下载安装其他软件，许多木马程序就是通过这种方式进入用户电脑的。

d) IM消息：利用QQ或MSN发送欺骗性的消息，诱使用户点击传送的文件，或点击消息中的网页链接，从而将木马程序植入用户电脑。

e) 垃圾邮件：发送垃圾邮件，当用户打开邮件中的附件时将木马程序植入系统，或者诱使用户访问特定的网页，以植入木马程序，或者通过钓鱼网页直接骗取用户帐号。

值得注意的是，很多情况下，木马程序是利用Windows系统的漏洞（众所周知，微软的操作系统及应用软件存在众多的安全漏洞）而侵入用户电脑系统的。

一旦被木马程序侵入系统，如果木马程序的编制者技术高超，可以说用户的电脑就是任人摆布了。所以防止木马盗号的首要环节，就是必须堵住系统的漏洞，并且尽可能堵住木马的传播途径。

(二) 木马程序盗号的主要技术手段

当木马程序侵入系统后，它们窃取用户帐号所采用的技术手段通常有以下几种：

1) 键盘记录

常见的方法有利用系统提供的消息钩子注入到目标进程中，过滤并截获键盘输入消息。也有木马采用更底层的技术，例如采用键盘过滤驱动来截获键盘输入。

2) 屏幕监视

在后台开启一个程序，进行小范围和低速屏幕录制或截图。

3) 读取目标程序内存数据

寻找目标程序的内存中的敏感数据，读取并进行解密。

4) 钓鱼和域名劫持

木马程序可以修改系统的host文件，当用户登录银行等官方网站时，将被引导至一个伪造的钓鱼网站，如果用户在这里进行登录操作，个人帐号信息就会丢失。

5) 伪造登录窗口

木马程序如果发现用户执行某些特定程序的登录操作，立即屏蔽掉原始窗口，在其上构造一个伪造的登录窗口（通常会与真正窗口的样子完全一致），截获用户的输入操作。

6) 盗取数字证书：

在用户电脑中寻找数字证书文件，将其发生给盗窃者。

7) 解密网络传输数据包

分析目标程序客户端和服务器端通信的传输数据，尝试解密数据包。

8) 利用社会工程学进行破解

在用户电脑中寻找特殊文件，比如“pwd.txt”、“密码.rar”等等，将其发生给盗窃者。

360安全中心分析所截获的木马程序样本，发现绝大多数木马程序都必须经过两个环节来实施盗号行为：1）注入特定的目标应用程序；2）通过截获键盘输入或截取屏幕来窃取用户输入的帐号信息。所以防治木马盗号，必须有针对性地卡死这两个环节。

(三) 仅仅依靠杀毒软件难以有效解决木马盗号问题

虽然绝大多数盗号行为是通过木马程序实施的，而且杀毒软件也都包含了木马查杀功能，但是仅仅依靠杀毒软件是难以有效解决木马盗号问题的。这是因为：

1) 目前杀毒软件查杀病毒最有效的手段还是基于病毒特征库扫描的方式，对未知木马难以有效识别和清除。而基于行为判断的主动防御技术目前还不成熟，非常容易误报，或者用户难以理解报警的原因，这给用户带来非常大的骚扰。

2) 现在有很多专门制作木马的工具，以及专门给木马加壳的工具，使得木马的制作变得非常容易，而且大部分木马制作出来后都会采用加壳技术变形以躲过杀毒软件的查杀。

3) 杀毒软件依赖特征库进行扫描和识别，本质上是一种事后的处理技术。这意味着只有采集到木马程序样本，才能将其纳入病毒特征库。但由于制作和传播技术的简单，已经出现大量“小众化”的木马，传播面不大，难以被杀毒软件采集到样本，因而杀毒软件也就难以清除。

由此亦可见，仅仅查杀木马是难以有效保护网上帐号的安全的。因为木马查杀也是基于特征库的扫描技术，只能查杀安全厂商已知的木马程序。这也是为什么众多用户已经安装了杀毒软件或者个人防火墙，仍然频频发生盗号的原因。

第四章木马盗号防治建议

从前面的分析可知，为了有效保护网上帐号的安全，仅仅依靠查杀木马是不够的，而是需要多层次全方位的安全保护。通过杀毒软件和其他安全软件的配合使用，可以达到更好的帐号保护效果。

针对性的帐号保护工具

(一) 及时打补丁，增强系统免疫力

多数木马侵入用户电脑系统都是利用了Windows系统的安全漏洞。众所周知， Windows系统以及应用程序（例如Office）的安全漏洞是非常多的，微软也不断在发布漏洞补丁程序。如果能够及时为系统打上相应的漏洞补丁，就能 够有效阻断木马侵入系统，无论是已知的木马还是未知的木马。所以最根本的还是应该尽量增强系统本身的免疫能力。

但是实际情况却是很少用户会意识到这个问题并及时打补丁。原因有几个方面：1）打补丁的过程比较复杂；2）从微软服务器下载补丁程序很慢；3）由于微软的WGA正版验证，很多盗版Windows无法打补丁。

另外，在网吧和校园等公共上网场所，由于电脑大多安装有还原类软件，网管通常会认为有还原功 能，即使被病毒或木马侵入，系统重启后也会自动清除，因此对系统打补丁就更加不重视。这是一个错误的观念，因为木马盗号是即时性的，如果一个用户在某次上 网期间，由于某种原因电脑中侵入了一个木马程序，那么在他玩游戏或者聊天的过程中，木马程序可能已经将其帐号盗走并发送给盗号者了，即使机器重启之后还原 了，但是对这个用户的损失已经造成了。

因此，360安全中心强烈建议用户，应该及时为自己的电脑系统手动打补丁，或者使用智能化的漏洞补丁自动修复工具，以便及时修复系统的安全漏洞，提升系统的免疫能力。

(二) 阻断木马传播途径

360安全中心建议用户选择具有以下功能的一种或多种安全软件的组合，来阻止木马的传播：

1) 网页防漏功能：可以智能拦截网页中恶意代码下载和执行可疑木马程序的行为，截断木马通过网页挂马的传播途径；

2) U盘免疫功能：禁止U盘等移动介质的自动运行，切断木马通过移动介质的传播；

3) 恶意软件拦截功能：自动拦截捆绑恶意插件、木马的软件安装，阻断木马通过软件捆绑传播；

4) 邮件监控功能：多数杀毒软件具有邮件监控功能，建议用户开启此功能，以放置木马程序通过邮件的入侵。

（三）查杀木马

如果没有及时打补丁，导致木马程序进入系统，这时就需要有能够及时查杀木马的工具。360安全中心建议用户养成定期查杀木马的习惯，例如在运行游戏或聊天软件之前，先使用杀毒软件或者专业木马查杀软件，将其特征库升级到最新版本，扫描并清除电脑中的木马软件。

（四）采用有针对性的网上帐号保护工具

前面说过，杀毒软件或者木马查杀软件只能查杀已知的木马程序，对于未知木马程序就无能为力了。因此用户需要对未知木马具有主动防范能力的特定工具，才能有效保证用户网上帐号的安全。

分析木马程序盗号采用的技术手段，基本上都必须经过两个环节：

1) 利用钩子技术（Hook）或底层驱动技术注入特定的目标程序（例如QQ、网游程序、网银客户端、浏览器等）

2) 截获特定程序中的键盘输入消息

因此如果能够卡死上述两个环节，让木马程序（无论已知还是未知）无法侵入特定的被保护目标程序，就能有效保护目标程序的用户帐号安全。建议用户选择具有上述功能的帐号保护软件。

（五）群治群防，打一场反盗号的人民战争

除了技术手段以外，反木马盗号还需要充分发动广大用户自己的力量，建立大家帮助大家的互动平 台，形成一场反盗号的人民战争。同时，360安全中心呼吁安全厂商联合起来，建立用户举报木马、恶意网页等的网上平台，并且在相互之间共享用户举报的木马 样本及恶意网页信息，这样才能形成遏制木马盗号的长效机制。