恶意软件的进化 和威胁概况...
TRANSCRIPT
恶意软件的进化
和威胁概况
— 十年回顾
Microsoft 安全情报报告:特别版本
2012 年 2 月
ii
MICROSOFT 安全情报报告:特别版本
本文档仅供参考。MICROSOFT 不对本文档中的信息做任何明示、暗示或法定保证。
本文档“按原样”提供。本文档中呈现的信息和视图(包括 URL 和其他互联网网站引用内容)可
能会有变动,恕不另行通知。您需承担使用本文档的风险。
版权所有 © 2012 Microsoft Corporation。保留所有权利。
此处提到的实际公司和产品的名称可能是其各自所有者的商标。
作者和贡献者
BILL BARLOWE — Microsoft 安全响应中心
JOE BLACKBIRD — Microsoft 恶意软件防护中心
WEIJUAN SHI DAVIS — Windows 产品管理消费者部门
JOE FAULHABER — Microsoft 恶意软件防护中心
HEATHER GOUDEY — Microsoft 恶意软件防护中心
PAUL HENRY — Wadeware LLC
JEFF JONES — Microsoft 可信计算部门
JIMMY KUO — Microsoft 恶意软件防护中心
MARC LAURICELLA — Microsoft 可信计算部门
KEN MALCOMSON — Microsoft 可信计算部门
NAM NG — Microsoft 可信计算部门
HILDA LARINA RAGRAGIO — Microsoft 恶意软件防护中心
TIM RAINS — Microsoft 可信计算部门
ELIZABETH SCOTT — Microsoft 安全响应中心
JASMINE SESSO — Microsoft 恶意软件防护中心
JOANNA SHARPE — Microsoft 可信计算部门
FRANK SIMORJAY — Microsoft 可信计算部门
HOLLY STEWART — Microsoft 恶意软件防护中心
STEVE WACKER — Wadeware LLC
纪念 TAREQ SAADE
iii
目录 前言...................................................................................................................................... v
范围.................................................................................................................................. v
报告期间.......................................................................................................................... v
约定.................................................................................................................................. v
简介..................................................................................................................................... 1
2002 年和当今的个人计算................................................................................................ 2
PC .................................................................................................................................... 2
移动计算......................................................................................................................... 2
在线服务(云的前身)................................................................................................. 3
恶意软件的起源................................................................................................................. 3
Microsoft 可信计算 ............................................................................................................ 5
2002-2003 ....................................................................................................................... 5
2004 ................................................................................................................................ 6
恶意软件的犯罪行为..................................................................................................... 6
2005 ................................................................................................................................ 6
漏洞..................................................................................................................................... 8
成熟的十年..................................................................................................................... 8
行业范围的漏洞披露..................................................................................................... 8
漏洞严重性................................................................................................................... 10
硬件和软件披露........................................................................................................... 11
操作系统漏洞披露....................................................................................................... 13
应用程序漏洞披露....................................................................................................... 14
披露趋势和安全公告....................................................................................................... 14
当今的恶意软件状况....................................................................................................... 18
恶意软件和可能不需要的软件趋势............................................................................... 20
威胁是如何随时间演变的........................................................................................... 20
不同时间段的各种威胁............................................................................................... 23
iv
按位置划分的威胁类别................................................................................................... 26
2011 年安全情报.......................................................................................................... 26
从感染率最低的国家/地区获得的经验教训 ............................................................. 28
Windows Update 和 Microsoft Update ............................................................................ 30
结束语............................................................................................................................... 32
附录 A:计算机保护技术和缓解 ................................................................................... 33
附录 B:此报告中引用的威胁系列 ............................................................................... 34
v
前言
范围
Microsoft 安全情报报告 (SIR) 重点关注软件漏洞、软件漏洞利用、恶意软件和可能不需要的软件。
过去的报告和相关资源可在 www.microsoft.com/sir 上下载。我们希望读者能够利用此特别版本的
SIR 中的数据、见解和指导,帮助保护自己的组织、软件和用户。
报告期间
此特别版本的 SIR 提供了过去 10 年的总结信息。此报告尽可能地包含了 10 年的完整趋势数据;
如果找不到这 10 年的完整数据,则会提供较短期间的趋势数据。通常,由于各个季度的漏洞披露
数量差别很大,而且一般会不成比例地在每年某些时间出现,因此在最新 SIR 的期刊中,将每半年
提供一次有关漏洞披露的统计信息。
在此报告中,将分别使用 nHyy 或 nQyy 格式来表示半年时间段和季度时间段,其中 yy 表示日历年,
而 n 表示半年或季度。例如,1H11 表示 2011 年的上半年(1 月 1 日至 6 月 30 日),而 2Q11 表
示 2011 年的第二个季度(4 月 1 日至 6 月 30 日)。为避免混淆,在考虑此报告中的统计信息时,
请留意所引用的报告期间。
约定
此报告对恶意软件和可能不需要的软件系列和变体使用 Microsoft 恶意软件防护中心 (MMPC) 命名
标准。有关此标准的信息,请参阅 MMPC 网站上的 Microsoft 恶意软件防护中心命名标准页。
简介
10 年来,互联网的影响在不断扩展,恶意软件也随之一直演变,变得更为复杂。早期形式的恶意
软件追求生成影响广泛的滋扰攻击,但现在其目标正变得日益恶毒,专注于窃取和其他违法活动。
恶意软件已成为各个组织重点关注的对象;2002 年以前,许多组织都还没有互联网连接,但在 21
世纪的前十年里,互联网连接很快成为了规范。
今天,除了个人计算机和大大小小的组织的网络以外,互联网连接还延伸至游戏机和智能手机等设
备。随着计算模式改变,保护组织、政府和市民远离恶意软件更是成为一种挑战。
2002 年成立的 Microsoft 可信计算部门定期发布 Microsoft 安全情报报告 (SIR) 来帮助客户和其他相
关方掌握变化的威胁概况。SIR 提供了全面的来自世界各地的威胁情报。
2
2002 年和当今的个人计算
在过去 10 年里,即使出现了恶意软件和其他重大挑战,计算机用户仍能继续享受到技术创新所
带来的好处。本节分三个方面对 2002 年和 2012 年当前的计算状况进行了基本的“历史与现在”
描绘:PC、移动计算和在线服务(云的前身)。
PC
2002 年,PC CPU 使用的是单核体系结构,并且处理速度刚超过 2.0 GHz。2001 年年末发布的
Windows XP 需要 64 MB 的 RAM,但建议使用 128 MB;512 MB 是当时相当普遍的配置。硬盘
驱动器大小达到 120 GB,并且 LCD 监视器正在变得日益流行。适用于外围设备的 USB 连接得到了
广泛使用,但是更快的 USB 2.0 规格刚得到批准,因此尚不可用。
而在 2012 年年初,多核 CPU 已很普遍,并且速度已超过 4.0 GHz,速度比 2002 年可用的系统快
了若干倍。2009 年发布的 Windows 7 需要 1 GB 的 RAM,但建议使用 2 GB。标准硬盘驱动器的容
量范围从 600 GB(相比 2002 年增加了 5 倍)一直到 1 TB 或更大大小。在美国购买 23 英寸监视
器的价格可能不到 200 美元,并且采用 LED 技术(过去的 LCD 技术上的改进)制造的监视器得到
了普及。虽然 USB 3.0 是新兴的连接技术,但 USB 2.0 仍是最广泛使用的标准。
移动计算
2002 年,最快的笔记型电脑 CPU 仅仅突破 1.0 GHz。常见配置为 512 MB 的 RAM 以及 20 GB 到
30 GB 的硬盘驱动器。DVD/CD-RW 组合驱动器还很罕见,CD-ROM 驱动器仍是标准配置。
高品质的声音和高清晰度 (HD) 显示器仍是用户的美好愿望,而且智能手机直到 2005 年才出现。
2012 年,笔记型电脑的 CPU 的速度是 2002 年可用 CPU 的三倍;普遍使用的是 3.0+ GHz 时钟速
度。提供的 RAM 一般为 2 GB 到 4 GB,这是 2002 年可用 RAM 的 4 到 8 倍,而高端笔记型电脑提
供多达 8 GB 的 RAM。典型的硬盘驱动器容量范围在 500 GB 到 600 GB 之间,大约是 2002 年可用
的笔记型电脑驱动器的 25 倍,并且新型固态硬盘驱动器的速度要明显更快。内置有摄像头和人脸
辨别技术(代替密码)的 HD 显示器已成为现实。DVD/RW 驱动器成为标准配置,并且许多都支持
使用高分辨率的蓝光碟片技术播放视频。但是,为了打造超轻薄的笔记型电脑,某些机型省去了此
类附件。高品质的音频选件也正变得日益普遍。
Ethernet 数据传输速度标准一直在发展。在这十年间,支持每秒 1,000 MB 的数据传输率 (Mbps)
的千兆级 Ethernet 得到了广泛应用,而且万兆级 Ethernet 已被电子和电气工程师协会 (IEEE) 认证
为标准。但是,这些标准适用于铜线连接、电缆(同轴线)连接和光纤连接。在 2002–2012 期间,
无线网络连接得到了广泛地发展,以满足当今可用移动设备数量不断增加的需要。2012 年,台式
计算机和笔记型电脑通常会提供有线和无线连接选项。
3
在线服务(云的前身)
从消费者的角度来看,2002 年以前就提供了大量的在线支付服务。这些服务促进了 互联网商务
(电子商务)网站的发展,例如 Amazon.com 和 eBay,它们均于 1995 年开通。在 2002 到 2012 年
之间,电子商务的影响急剧增加。
这十年间出现了一个有意义的现象,对大众文化和娱乐行业产生了重要影响。随着音乐和视频可
作为数字化计算机文件使用,它们还可通过互联网进行共享。1999 年出现并于 2001 年 7 月
退市的 Napster 可能是当时最知名的文件共享服务。然而,其他文件共享模型也相继出现,而且
流行开来。
互联网的发展和新兴的宽带连接也催生了 Rhapsody 等在线服务,Rhapsody 于 2001 年 12 月
发布,是第一个收取月使用费的流传输按需音乐订阅服务。
虽然云计算的概念存在已久,但第一个商用的云计算服务出现在 2002 年。自此以后,出现了更为
灵活的选项,使云计算对大大小小的组织和个人更有吸引力并更切实可行。云计算体系结构当前
包括:基础结构即服务 (IaaS),用于提供网络和存储等组件;平台即服务 (PaaS),用于提供数据库
或 Web 服务器等用于运行应用程序的平台;以及软件即服务 (SaaS),用于提供软件应用程序或解
决方案作为成品或完整的服务。
2012 年,对有关云计算成为下一个重要的计算模式的可能性有了小小的争议。此技术正在赢得
许多组织的认可,并且云计算模型将不断进行发展。
恶意软件的起源
很多计算机用户都是通过 Melissa(1999 年)和 LoveLetter(2000 年)造成的广泛感染才知道恶意
软件的。以上两种恶意软件均基于电子邮件,而且 LoveLetter 通过受感染的电子邮件附件进行传播。
当受感染的附件被打开后,恶意软件将在用户 PC 上覆盖各种不同类型的文件,并将自身通过电子
邮件的方式发送给用户电子邮件通讯簿中的其他人。
LoveLetter 迅速成为当时同类恶意软件中造成损失最大的事件。尽管 Melissa 和 LoveLetter 造成了
损失,但也有人认为它们还具有三方面的积极影响:它们促使计算机恶意软件受到越来越严密的
监视;它们提高了社会对计算机恶意软件的认知(通过来自许多让人心烦意乱的邮件收件人的同伴
压力);它们凸显了备份的重要性(因为 LoveLetter 会覆盖文件,如果没有备份,则会丢失被覆盖
的文件)。
4
2001 年,出现了一种更为狡诈、更直接的恶意软件威胁:在没有任何人际互动的情况下也能传播
的恶意软件。此类恶意软件中有一种是称为 Code Red 的蠕虫,Code Red 于 2001 年 7 月在互联网
上发布,目标是运行 Microsoft Internet Information Services (IIS) 的服务器。虽然至少从 1988 年就
检测到了蠕虫,但是 Microsoft 恶意软件防护中心 (MMPC) 的研究人员认为 Code Red 是蠕虫的完
美示例,因为它没有任何文件组件。Code Red 需要在传输过程中或在受感染计算机的内存中才能
检测到;而那时,查找基于文件的恶意软件的传统桌面反恶意软件产品无法检测到它。
Code Red 通过 TCP 端口 80 进行传播,而该端口通常是用于互联网Web 查询的通道,因此需要保
护 Web 服务器不受此类攻击。但是,其他计算机的 Web 浏览器功能需要访问端口 80。Code Red
造成的损失可能没有 LoveLetter 那么惨重,但这也很难说,因为一些感染了 Code Red 的计算机随
后感染了 Win32/Nimda,后者也是通过 TCP 端口 80 进行传播的。
Win32/Nimda 是持续至今的恶意软件发展趋势的开端,有人也称之为恶意软件混合物或混合威胁。
它至少使用了五种不同的攻击向量,包括利用上一恶意软件留下的后门。由于它在此类恶意软件后
接踵而来,因此没有多少时间可用来开发它。因此,人们广泛地认为 Win32/Nimda 是由一个团队
而不仅仅是某个恶意软件编码人员独自开发的。
不管创建者是谁,Win32/Nimda 表明,如果网络计算机处于不受保护状态,则在几小时甚至几分
钟之内就会被人占用并对计算机所有者构成不利。无数计算机被 Win32/Nimda 攻占,其中有很多
还是运营大中型公司的知名网站和邮件服务器的计算机。被感染的重要网站总共超过了 50,000 个。
许多人都注意到 Win32/Nimda 是在 2001 年 9 月 11 日恐怖袭击刚好一周后的 9 月 18 日发布的,
这个事实让许多安全专家感到不安。
此外,2001 年还新出现了隐藏在似乎无害的电子邮件中的恶意软件。此类恶意软件出现在未附加
代码或文件的邮件中,它们改为使用 URL。这些邮件将使用社会工程策略诱使用户单击 URL,这些
URL 会将用户连接到可利用漏洞来对用户的 PC 执行不需要的操作的网站。
2001 年还新出现了 Win32/Sircam,这是第一个泄漏计算机信息的广泛传播的恶意软件,但人们
并不清楚这是否是恶意软件当初的目的。但是,乌克兰总理的私人行程被意外地公开发布就是感染
Win32/Sircam 的结果。
5
Microsoft 可信计算
2002 年 1 月 15 日,Microsoft 董事长比尔•盖茨向 Microsoft 及其子公司的所有全职员工发送了
一份备忘录。此备忘录建议对公司实现其业务核心组件的途径做出根本改变,这个概念称为可信
计算 (TwC)。
TwC 是 Microsoft 做出的、基于合理的业务实践提供更安全、保密和可靠的计算体验的承诺。TwC
在 SIR 中发布的大部分情报来自 Microsoft 恶意软件防护中心 (MMPC)、Microsoft 安全响应中心
(MSRC) 和 Microsoft 安全工程中心 (MSEC) 这三个安全中心,它们提供了全面的威胁情报、威胁响
应和安全技术。其他信息来自 Microsoft 的各个产品组和管理 Microsoft 的全球 IT 服务的 Microsoft
IT (MSIT)。SIR 旨在为 Microsoft 客户、合作伙伴和软件行业提供对威胁概况的全面了解,以帮助他
们保护自身及其财产不受犯罪活动的侵害。
下图显示了 TwC 成立的头五年里的重大活动和里程碑以及一些与恶意软件相关的重大事件。
图 1:从 2002 年到 2006 年威胁概况的重大事件和里程碑
2002-2003
以 Melissa 和 LoveLetter 开始的大规模邮件发送恶意软件的时代延续到了 2002-2003,导致垃圾邮件
量大幅增长;此类恶意软件中的大多数使用宏和 Microsoft Visual Basic 脚本编写功能。在 Microsoft
Office XP 版本的 Microsoft Excel 和 Office 2003 版本的 Microsoft Word 对其数据文件采用了 XML
格式之后,其中的安全功能击败了大部分此类恶意软件。
2003 年,Microsoft 开始每月定期发布安全更新,并延续至今。Microsoft 启动此计划是为了定期
为客户提供及时的更新。一些更新与安全相关,但不是全部。安全更新于每月的第二个星期二提供,
可选更新以及非安全更新于每月的第四个星期二提供。
6
2004
Microsoft 于 2004 年发布了 Windows XP Service Pack 2 (SP2),其中包含大量安全更新和改进。
SP2 是 Microsoft 开发人员和安全专家的心血之作。这可能是 Microsoft 当时发出的最清晰的暗示,
表明该公司是多么担心恶意软件通过互联网的全球连接而日益增多的问题。SP2 是 Microsoft 和业
内其他公司在帮助技术用户防范罪犯的工作方面取得的重大成就和里程碑。
2004 年还出现了第一个有影响的营利性恶意软件。大规模邮件发送蠕虫系列 Win32/Mydoom 创造
了最早的僵尸网络 示例之一,僵尸网络是一组被攻击者暗中非法控制的计算机,攻击者可以命令
计算机执行发送垃圾邮件、承载使用钓鱼攻击的网页、盗取密码或敏感信息以及分发其他恶意软件
等活动。
恶意软件的犯罪行为
很多早期形式的恶意软件在清理成本和生产力损失方面具有破坏性和代价昂贵的特点,但大部分
恶意软件的创建目的只是为了搞恶作剧或提升创建者在黑客在线社区中的地位。随着 2004 年
Win32/Mydoom 的出现,恶意软件创建者显然抓住了恶意软件为窃取、敲诈和其他营利性犯罪
活动提供的机会。
2005
2005 年,发布了 Win32/Zotob 蠕虫。Win32/Zotob 并没有像最初预计的那样广泛传播。它力图降
低 Windows Internet Explorer 的安全设置并禁用其弹出菜单阻止功能以便显示将根据点击量为黑客
付费的网站广告,这是另一个恶意软件营利的例子。
在 2005 年晚些时候,Win32/Zlob 特洛伊木马开始传播。它会显示弹出广告,提醒用户当心间谍软
件并怂恿他们购买假的反间谍软件,这实际上会将用户重定向至其他网站并导致其他问题。
Win32/Zlob 还是一个指示器,表明在潜在利益的驱使下,恶意软件恶作剧者正在走上犯罪的道路。
(有关 Win32/Zlob 的详细信息,请参阅本文后面的“威胁是如何与时俱进的”。)
在 2005 年之前,Microsoft 发布了针对特定形式的恶意软件的安全更新。例如,2002 年 7 月提供
的 Microsoft 安全公告 MS02-039 解决了称为 Slammer 的恶意软件。2005 年 1 月,Microsoft 发布
了恶意软件清除工具 (MSRT) 的第一个版本,该工具可从运行最新 Windows 版本的计算机中清除
特定的流行恶意软件。Microsoft 每月提供一个新版本的 MSRT 以通过 Windows Update/Microsoft
Update 自动下载至用户的计算机,下载之后,MSRT 将运行一次以检查并清除恶意软件感染。
持续自动提供的 MSRT 有助于维持一个更干净的计算生态系统。例如,2011 年上半年,MSRT 每
个月平均在全球超过 6 亿台的个人计算机上运行。但是,MSRT 不能代替预防性反恶意软件产品;
严格地说,它只是一个感染后清除工具。Microsoft 强烈建议使用最新的预防性反恶意软件产品。
7
随着技术老练且有组织的罪犯开始借助技术来利用技术用户,2005 年成立了肩负双重使命的 MMPC:
帮助 Microsoft 客户防范新出现的和现有的威胁,并且提供一流的反恶意软件研究和响应能力来支持
Microsoft 安全产品和服务。
最近,Microsoft 成立了 Microsoft 数字犯罪单位 (DCU),这是一个由律师、调查员、技术分析师和
其他专家组成的全球性团队。DCU 的职责是借助强有力的执法、全球合作伙伴、策略以及可帮助
防范欺诈和其他针对在线安全的威胁的技术解决方案来使互联网更加安全可靠,另外也帮助孩子防
范利用技术的犯罪。
下图显示了 TwC 成立的第二个五年里的一些重大里程碑以及一些与恶意软件相关的重大事件。
图 2:从 2007 年到 2011 年威胁概况的重大事件和里程碑
除了组建 MMPC 和 DCU 之外,Microsoft 还致力于促进更深层次的行业协作和分享经验教训以
帮助其他人做好安全工作。Microsoft 于 2008 年 6 月与 Intel Corporation、IBM、Cisco Systems 和
Juniper Networks 共同创立的互联网安全促进行业联盟 (Industry Consortium for Advancement of
Security on the Internet, ICASI) 就是一个这样的例子。此组织创立之后,Amazon.com 和 Nokia 也
成为了成员。
ICASI 促进了具有应对复杂的安全威胁和更好地保护支持全世界的组织、政府和市民的关键 IT 基础
结构这一目标的全球公司之间的协作。
8
漏洞
漏洞就是软件的弱点,攻击者利用漏洞可破坏软件或软件所处理数据的完整性、可用性或保密性。
某些最糟糕的漏洞允许攻击者利用受害的计算机在用户不知道的情况下运行任意代码。
过去 10 年为查看漏洞披露和随之而来的继续影响全球 IT 组织的风险管理的变化展示了一个非常有
趣的时间段。在查看图表和趋势之前,先看一下过去十年有关行业漏洞的简短回顾。
成熟的十年
2002 年,MITRE1 发表了 CVE 计划的进度报告 (PDF),其中对多年的工作进行了更新以便创建一致
且通用的漏洞信息集合(尤其注意命名的唯一性),从而使整个行业能够更轻松地评估、管理和修
复漏洞和风险。CVE 的工作和数据在后来构成了美国国家标准技术研究院 (NIST) 的核心,即美国
国家漏洞数据库 (NVD),这是美国政府的基于标准的漏洞管理数据存储库,充当 SIR 中引用的行业
漏洞的主漏洞索引。
2002 年还标志着漏洞商业市场的开始;iDefense 启动了一个为漏洞信息的发现者付费的漏洞贡献
者计划。
2003 年,美国国家基础架构指导委员会 (NIAC) 开展了一个项目来“建议一个开放且通用的漏洞评
分系统以应对和解决这些缺点,并且最终目的是达成对漏洞及其影响的共识。”此项目于 2004 年
晚些时候生成了一个建议采用通用漏洞和评分系统的报告 (PDF) (CVSSv1)。漏洞严重性(或评分)
信息是一个重大进步,因为它以一种厂商中立的方式在行业内为漏洞进行分级提供了标准方法。
2007 年更新了 CVSS,其中所做的更改解决了自 CVSS 启动以来在实际应用中发现的问题。SIR 第 4 卷
中提供了 2007 年下半年的数据和分析,包括使用 CVSSv1 和 CVSSv2 的漏洞趋势,并且自那时起
一直在使用 CVSSv2 评级。正如当时指出的,新的评级公式的一个实际影响是被评级为“高”或
“中等”严重等级的漏洞的比例比以往高出很多。
行业范围的漏洞披露
披露 是在 SIR 中使用的一个术语,指的是随意向一般公众揭示软件漏洞。它不是指任何类型的私下
披露或披露给数量有限的人。披露的来源很多,包括软件供应商、安全软件供应商、独立安全研究
员,甚至是恶意软件创建者。
本节中的许多信息是从 NVD 中发布的漏洞披露数据收集而来的。这些数据揭示的所有披露都具有
一个 CVE(通用漏洞披露)编号。
1 MITRE 是一家致力于公共利益的非营利公司,为美国政府提供系统工程、研究和开发以及信息技术支持。
9
在过去十年,新漏洞披露的数量急剧增长,并在 2006 和 2007 年达到顶峰,然后在接下来的四年
里持续下降,至 2011 年漏洞披露数量仅为 4,000 多点,不过这仍然是一个比较大的数量。
图 3:2002 年以来的行业范围的漏洞披露
漏洞披露趋势:
2011 年整个行业的漏洞披露相比 2010 年下降了 11.8%。
此下降延续了温和下降的总体趋势。漏洞披露自 2006 年达到最高点后总共已下降 37%。
10
漏洞严重性
通用漏洞评估系统 (CVSS) 是一个标准的独立于平台的评分系统,可用于为 IT 漏洞评级。CVSS 根据
严重性为漏洞分配一个数值(0 到 10),分值越高表示越严重。(有关详细信息,请参阅 SIR 网站
上的漏洞严重性页。)
图 4:2002 年以来披露的漏洞的相对严重性
漏洞严重性趋势:
漏洞严重性的总体趋势是往好的方向走的。“中等”和“高”严重性的漏洞数量在 2006 和
2007 年到达最高点后持续下降。
即使总体上披露的漏洞更少,但是披露的“低”严重性漏洞的数量却相对稳定。2011 年,
“低”严重性漏洞占披露的所有漏洞的 8% 左右。
11
硬件和软件披露
NVD 同时跟踪硬件和软件漏洞。如下图所示,每年披露的硬件漏洞数量仍然很少。最多的时候是
2009 年披露的 198 个硬件漏洞(占漏洞总数的 3.4%)。
图 5:2002 年以来的硬件和软件漏洞披露
软件漏洞包含影响操作系统、应用程序或同时影响二者的漏洞。与许多其他行业一样,一个供应商
的产品可能是另一供应商的组件。例如,CVE-2011-1089 会影响作为 GNU 的应用程序产品列出的
GNU libc 2.3。但是,libc 还是若干操作系统中的集成组件,因此这也是一个操作系统漏洞。因此,
很难在操作系统漏洞和应用程序漏洞之间划分一条清楚的界线。下图中,同时影响操作系统和应用
程序的漏洞使用红色显示。
12
图 6:2002 年以来的应用程序和操作系统漏洞披露
在 2010 和 2011 年,大约 13% 的软件漏洞同时影响着应用程序和操作系统产品。
13
操作系统漏洞披露
为了确定影响操作系统的漏洞数量(下图所示),针对在 NVD 中指定为操作系统的受影响产品的
漏洞进行了筛选。
图 7:2002 年以来的操作系统漏洞披露
14
应用程序漏洞披露
为了确定影响应用程序的漏洞数量(下图所示),针对在 NVD 中指定为应用程序的受影响产品的
漏洞进行了筛选。
图 8:2002 年以来的应用程序漏洞披露
披露趋势和安全公告
Microsoft 安全工程中心 (MSEC) 是帮助保护客户远离恶意软件的三个安全中心之一。MSEC 注重于
凭借 Microsoft 安全开发生命周期 (SDL) 和安全技术等成果从软件工程的角度来开发更安全产品和
服务的基础方式。
Microsoft 安全响应中心 (MSRC) 负责发现、监视、解析和响应 Microsoft 软件安全漏洞。MSRC
每月发布安全公告以应对 Microsoft 软件漏洞。每个日历年的安全公告是连续编号的。例如,
“MS11-057”指的是 2011 年发布的第 57 期安全公告。
安全公告通常在每月的第二个星期二发布,但是偶尔 Microsoft 会发布计划外的安全更新来解决
紧急问题。2011 年,Microsoft 发布了一个计划外的更新。
15
下图显示的是 2005 年以来发布的安全公告和计划外的更新的数量,Microsoft 在这一年发布了恶意
软件移除工具 (MSRT) 的第一个版本。
图 9:2005 年以来发布的 MSRC 安全公告
期间 安全公告数量 计划外的更新
1H05
33
0
2H05
22
0
1H06
32
1
2H06
46
1
1H07
35
1
2H07
34
0
1H08
36
0
2H08
42
2
1H09
27
0
2H09
47
1
1H10
41
2
2H10
65
1
1H11
52
0
2H11
48
1
一个安全公告通常会解决 CVE 数据库中的多个漏洞,公告中将会列出每个漏洞以及所有其他相关
问题。下图显示了自 2005 年上半年以来每半年发布的安全公告的数量以及它们所解决的由 CVE
确定的漏洞的数量。(请注意,并不是所有的漏洞都会在最初披露它们的那个期间得到解决。)
16
图 10:MSRC 安全公告和已解决的由 CVE 确定的漏洞的数量
2011 年,MSRC 发布了 100 个安全公告,这些公告解决了 236 个由 CVE 确定的漏洞,相比 2010 年
分别下降了 7% 和 6%。如下图所示,每个安全公告解决的 CVE 的平均数量随着时间不断增加,
从 2005 年上半年的 1.5 增长至 2011 年下半年的 2.4。
17
图 11:每个 MSRC 安全公告中的平均 CVE 数量
如果可能,MSRC 将合并多个影响单个二进制文件或组件的漏洞以在一个安全公告中解决它们。
此方式最大程度地提高了每个更新的有效性,并最大程度地减少了客户测试各个安全更新并将
它们集成到其计算环境中所面临的潜在中断。
18
当今的恶意软件状况
2001 年年末,已知存在各种形式的恶意软件或威胁大约 60,000 种。此数字相比 1996 年(大约
10,000)和 1991 年(大约 1,000)显著增加。
图 12:1991 年以来的恶意软件的大约增长
过去十年,恶意软件的扩散已发展为在线犯罪。现今,估计已知计算机威胁(如病毒、蠕虫、特洛
伊木马、漏洞利用、后门程序、密码窃取程序、间谍软件和其他可能不需要的软件的变体)的数量
已达到数百万。
自从犯罪恶意软件开发人员开始使用客户端和服务器多态性(恶意软件动态为自身创建各种形式以
对付反恶意软件程序的能力),回答“存在多少威胁变体?”这个问题已经变得越来越困难。多态
性意味着可能存在的威胁变体与受感染计算机可产生的一样多,也就是说,此数量仅受恶意软件生
成自身新变体的能力限制。
与其计算威胁变体的数量,不如检测和估计威胁变体产生源更有意义。2011 年,客户向 MMPC
报告了超过 49,000 个不同的唯一威胁系列。这些报告的系列中有很多是主要威胁系列的重复的、
多态性版本;检测和消除受感染计算机中的主要威胁系列是一个持续开展的活动。
2011 年,Microsoft 新增了超过 22,000 个签名以检测主要威胁系列。随着犯罪恶意软件开发人员
创建的威胁越来越多,典型的反恶意软件签名文件的大小也在不断增加;现在反恶意软件签名文件
的大小已超过 100 MB。2002 年,典型的反恶意软件签名文件的大小不到 1 MB。
19
提交给反恶意软件组织的文件数量也一直在增加。下图显示了 2005 年以来提交给 MMPC 的疑似
包含恶意软件或可能不需要的软件的文件数量是如何增长的,增长率超过 200%。(可通过提交样本
页将疑似恶意软件文件提交至 MMPC。)
图 13:2005 年以来提交给 MMPC 的文件数量的增长百分比
20
恶意软件和可能不需要的软件趋势
恶意软件会继续演变,各种形式的恶意软件检测的波动有时表示软件行业的持久反恶意软件工作对
抗恶意软件开发人员工作在某个时点取得了胜利。
威胁是如何随时间演变的
从多年的经验来看,一些恶意软件和可能不需要的软件系列往往会在短时间内会达到最高点或变得
相当普遍,但反恶意软件供应商就会将工作重心放在检测和清除这些威胁上。随着攻击者改变策略,
在这些高发期之后便是回落期,然后继续向前发展。下图阐释了此现象。(图 14 到 18,纵轴表示
受恶意软件感染的所有计算机的百分比。)
图 14:2006 年以来达到最高点并回落的恶意软件和可能不需要的软件系列
Win32/Rbot 是早期的僵尸网络系列,2004 和 2005 年在高调爆发并影响媒体和政府网络以及其他
的事件之后而臭名昭著。Rbot 是“kit”系列:Rbot 变体从称为“RxBot”的开放源代码僵尸网络
创建工具包生成,恶意软件操作者之间普遍使用 RxBot,许多不同的组织生成自己的具有不同功能
的变体。MSRT 在 2005 年 4 月更新之后可以检测到 Rbot,到 2006 年检测数量急剧下降,2008 年
下半年检测到 Rbot 的计算机下降至 2% 以下。
21
在 2008 年上半年,几乎每四台感染恶意软件的计算机中就能发现一台感染了特洛伊木马系列
Win32/Zlob,Win32/Zlob 的普遍程度迄今为止没有任何其他系列能够比得上。Zlob 一般分布在
网页上,伪装成一个媒体编解码器,访问者将会安装它来观看从互联网下载或流传输的视频内容。
Zlob 在安装到目标计算机上之后,它将反复显示针对流氓安全软件的弹出广告。2008 年年末检测
到的 Zlob 变体中包含一封显然由 Zlob 的创作者编写并送给 MMPC 研究人员的编码邮件,表明创
作者将停止开发和分发特洛伊木马:
致 Windows Defender 团队:
我在博客上看到了您有关我上一封邮件的文章(2008 年 10 月 10 日)。
我想在俄罗斯向各位问声好。
各位确实了不起。我对 Microsoft 能够如此快速地响应威胁感到很意外。
现在我不能在此署名(呵呵,对不起),几年前所有 Windows 都存在更严重的漏洞时的
情况真是糟糕极了;)
各位,新年快乐、祝好运!
附:顺便说一下,我们将很快结束。但不是因为各位的努力。:-))
因此,各位将再也看不到我在这个软件系列上的一些绝妙 ;) 想法。
尝试在 exploits/shellcodes 和 rootkits 中搜索一下吧。
另外,Microsoft 为我提供了一份帮助改进 Vista 的部分防护的工作,这很搞笑(可能对
各位来说)。我并不感兴趣,只是造化弄人。
事实上,Zlob 的检测数量在 2008 年二季度已明显下降,到 2010 年,Zlob 已不在世界上最常检测
到的 50 种系列之中。
Win32/Conficker 是 2008 年 11 月发现的蠕虫系列,其最初通过攻击在这之前一个月发布的安全
更新 MS08-067 解决的漏洞进行传播。Conficker 检测数量在 2009 年上半年到达了最高点,
在 Conficker 工作组进行控制蠕虫速度和清理受感染计算机的调整工作后,其后的 Conficker 检测
数量下降至更低的水平。自那之后的每 6 个月一次的检测中,在 3% 到 6% 的受感染计算机上检测
到 Conficker。
JS/Pornpop 是一个广告软件,包含专门制作的支持 JavaScript、尝试显示弹出式广告的对象。
于 2010 年 8 月第一次检测到该软件,它是 2H10 和 1H11 这两个期间第二最常检测到的系列,
并且在 2H11 期间可能是最常检测到的系列。
Win32/Autorun 是滥用 Windows 中的 AutoRun 功能对尝试在已装入计算机卷之间进行传播的蠕虫
的通用检测。Win32/Autorun 在 2H10 期间作为该期间最常检测到的系列达到最高点之前,其检测
数量在若干期间逐步增加。
22
Microsoft 对 AutoRun 功能在 Windows 7 和 Windows Server 2008 R2 中的运行方式引入了更改
试图帮助保护用户远离 AutoRun 威胁。在这些 Windows 版本中,对除了历史上尚未用于传输
AutoRun 恶意软件的光盘驱动器(如 CD-ROM 和 DVD-ROM 驱动器)之外的所有卷禁用 AutoRun
任务。随后,Microsoft 发布了一组将此更改移植到 Windows XP、Windows Server 2003、
Windows Vista 和 Windows Server 2008 的更新。这些更新自 2011 年 2 月开始已通过 Windows
Update 和 Microsoft Update 服务发布为重要更新,这可能为 2011 年看到的 Win32/Autorun 检测
数量的下降做出了贡献。
其他恶意软件和可能不需要的软件系列不像热门系列那样盛行,但存在的时间却更久。下图阐释了
这些更持久的恶意软件系列中的部分软件的流行情况。
图 15:2007 年以来将活跃程度保持在较低水平的恶意软件系列
Win32/Renos,SIR 以前的期刊中将其归为特洛伊木马下载程序和植入程序类别,是 1H07 到 2H10
期间每六个月一次的检测中最常检测到的四个恶意软件系列之一,在 2H08 和 1H10 期间达到最高
点,并且到 2H11 期间才退出最常检测到的 25 个系列。Renos 是在受感染计算机上安装流氓安全
软件的特洛伊木马下载程序。
23
Win32/Taterf,SIR 以前的期刊中将其归为蠕虫类别,是 2H08 到 2H10 期间中每个期间最常检测到
的五个恶意软件系列之一,在 2H09 期间是最常检测到的系列。Taterf 是一种通过映射驱动器窃取
流行在线游戏的登录名和帐户详细信息进行传播的蠕虫。大量多玩家在线角色扮演游戏的日益流行
在虚拟“黄金”和游戏装备基础上建立了一个市场(一般会遭到游戏自身制作者的反对),玩家用
现实世界的现金交换这些“黄金”和装备。这反过来导致如 Taterf 这样的一类威胁,其为了后面拍
卖受害人虚拟战利品的窃贼的利益而盗取玩家的游戏密码。Taterf 是类似威胁 Win32/Frethog 的修
改后版本,后者也在同一时间段持续流行。
Win32/Alureon,SIR 以前的期刊将其归为杂项特洛伊木马类别,是具有 rootkit 特征的窃取数据的
特洛伊木马系列。第一次发现它的时间是在 2007 年早些时候,自那之后的每半年一次的检测期间,
它已位于或接近最常检测到的 25 个系列之中。利用 Alureon 变体,攻击者可拦截传入和传出互联网
通信并收集用户名、密码和信用卡数据等机密信息。
不同时间段的各种威胁
另一观点变得很明显,即如果从多年的经验来看,恶意软件和可能不需要的软件是不同类别的恶意
软件,即在不同时间段流行过的不同类型的威胁。下图阐释了三种不同类别的恶意软件的相对流行
情况。
图 16:2006 年以来的蠕虫、后门程序和各种可能不需要的软件类别
24
2006 和 2007 年,恶意软件概况受蠕虫、各种可能不需要的软件和后门程序类别控制。(术语“各
种可能不需要的软件”指的是具有可能影响用户策略、安全性或计算体验的可能不必要的行为的程
序。)到现在,蠕虫(如通过攻击网络服务的漏洞进行传播的 Win32/Msblast 和 Win32/Sasser)
的大规模爆发大多发生在过去。爆发次数下降的最大原因是这些爆发的影响大的本性,这导致反恶
意软件供应商加大了在检测、清理和阻止方面的工作,并最终推动解决受感染漏洞的安全更新的广
泛采用。2006 年最流行的蠕虫是混合邮件(如 Win32/Wukill 和 Win32/Bagle),其通过将自身的
副本以电子邮件的方式发送至受感染计算机上发现的地址来进行传播。
流行的后门程序包括一对相关的僵尸网络系列 Win32/Rbot 和 Win32/Sdbot。这些系列的变体从在
恶意软件的地下市场交易的僵尸网络构造工具包生成,用于通过互联网中继聊天 (IRC) 控制受感染
计算机。Rbot 和 Sdbot 大部分已被新的僵尸网络系列取代,但尽管如此使用仍然很活跃,这可能
是因为以后的僵尸网络操作人员使用它们获得构造工具包相对容易一些。
2006 和 2007 年流行的特洛伊木马系列包括早期流氓安全软件系列 Win32/WinFixer 和浏览器工具
栏 Win32/Starware。与大部分一般伪装成反恶意软件扫描程序的现代流氓软件系列不同,WinFixer
伪装为一个可能在计算机注册表和文件系统中标识“侵犯隐私”并提供免费“清除”机会的实用程
序。Win32/Starware 是一个浏览器工具栏,用于监视常用搜索引擎的搜索,联合执行自己的搜索
并在浏览器窗口内的嵌入式框架中显示结果。
图 17:2006 年以来的蠕虫、特洛伊木马下载程序与植入程序和密码窃取程序与监视工具类别
特洛伊木马下载程序与植入程序类别,其在 1H06 期间的检测中感染了不到 9% 的计算机,在 2007
和 2008 年快速上升成为最主要威胁类别之一,这主要是因为 Win32/Zlob 和 Win32/Renos 的检测
数量增加了。
25
蠕虫类别从 1H06 期间的最高点明显下降后,在 2009 年发现 Win32/Conficker 之后再次增加,并在
2Q10 期间伴随增加的 Win32/Taterf 和 Win32/Rimecud 检测数量达到第二个最高点。Rimecud 是
一个蠕虫系列,具有多个组件,通过可移动驱动器和即时邮件传递进行传播。它还包含后门程序
功能,允许对受感染计算机的未经授权的访问。
密码窃取程序和监视工具类别的恶意软件系列,其导致 1H06 期间检测数量的百分比可以忽略
不计,到达 2Q10 期间的最高点之前,在 2008 和 2009 年增长缓慢但平稳。游戏密码窃取程序
(如 Win32/Frethog)是此次检测数量大幅增加的原因。
图 18:2006 以来的“广告软件”、“各种可能不需要的软件”和“各种木马”类别
“广告软件”、“各种可能不需要的软件”和“各种木马”类别是 2010 年和 2011 年中最常检测到
的类别。检测到的广告软件数在 2011 年上半年大幅增加,包括广告软件系列 Win32/OpenCandy
和 JS/Pornpop。OpenCandy 是一类可能与某些第三方软件安装程序绑定的恶意广告软件程序。
某些版本的 OpenCandy 程序会在未获得充分的用户同意的情况下发送用户特定的信息,这些版本
会被 Microsoft 反恶意软件产品检测到。Pornpop 是专门针对尝试在用户的 Web 浏览器中显示隐
藏式弹出式广告的支持 JavaScript 的对象的检测。最初,JS/Pornpop 只出现在包含成人内容的网站
上;但后来,在可能不包含任何成人内容的网站上也发现了它的踪迹。
“各种可能不需要的软件类别”是 2006 年中最常检测到的类别,其流行率在 2007 年和 2008 年有
所下降,但随后在 2011 年下半年又再次提高,成为第二流行的类别。2011 年下半年,此类别中所
占比例最大的系列是 Win32/Keygen,它是一种一般检测,针对的是生成用于以合法方式获取各种
软件产品的版本的产品密钥的工具,Win32/Zwangi 是一个在后台运行的程序,它会将 Web 浏览
器设置修改为访问特定网站。
26
“各种木马”类别在 2008 年下半年的每个期间一直在影响大约 1/3 的感染了恶意软件的计算机。
很多流氓安全软件系列都归入了此类别,如 Win32/FakeSpyPro,它是 2010 年最常检测到的流氓
安全软件系列。此类别中其他流行的系列包括 Win32/Alureon、数据盗取木马和 Win32/Hiloti
(妨碍受影响用户的浏览习惯并下载和执行任意文件)。
按位置划分的威胁类别
恶意软件生态系统已从显而易见的威胁(如自我复制蠕虫)向具有一定隐蔽性的威胁转变,后者更
依赖于用于分发和安装的社会工程。这种转变意味着恶意软件的传播和有效性变得更依赖于语言和
区域性因素。某些威胁是通过面向使用特定语言的人或使用针对特定地理区域的本地服务的人的技
术传播的。其他威胁针对的是漏洞或操作系统配置以及未均匀分发到全世界的应用程序。来自世界
上一些人口较密集的位置的某些 Microsoft 安全产品的感染数据表明恶意软件和可能不需要的软件
具有高度本地化的性质。
相应地,此威胁概况比简单地检查全球最大威胁所表明的威胁状况要复杂得多。
2011 年安全情报
下图显示了自 2009 年以来报告由 Microsoft 桌面反恶意软件产品清理了大量计算机的国家/地区。2
图 19:自 2009 年以来清理了大量计算机的国家/地区
2 有关如何确定 PC 位置的信息,请参阅博客文章确定感染恶意软件的系统的地理位置。
27
下图显示了自 2009 年以来感染率相对于所有国家/地区的平均感染率报历史新高的国家/地区。
图 20:自 2009 年以来感染率相对于世界平均水平创历史新高的国家/地区
下图显示了感染率相对于所有国家/地区的平均感染率报历史新低的国家/地区。
图 21:自 2009 年以来感染率相对于世界平均水平创历史新低的国家/地区
28
从感染率最低的国家/地区获得的经验教训
澳大利亚、芬兰、德国和日本在过去几年中的恶意软件感染率均相对较低。但是,在恶意软件感染
率较高的国家/地区(如巴西、韩国和土耳其)中流行的很多全球性威胁在恶意软件感染率较低的
国家/地区中同样流行。
广告软件是在恶意软件感染率较高和较低的国家/地区均为最流行的威胁类别之一;我们发现广
告软件在这两类国家/地区的流行威胁类别中分别名列第一和第二。JS/Pornpop(2010 下半年
在全世界超过 650 万台的唯一计算机上检测到)和 Win32/ClickPotato 在这些国家/地区中均非
常流行。
Win32/Renos 是在恶意软件感染率较高和较低的国家/地区中发现的大量木马下载程序和植入
程序的主要罪魁祸首。Win32/Renos 很多年来一直是一个流行的木马下载程序和植入程序系列,
2010 年世界上有超过 800 万台唯一计算机上检测到该系列。
Win32/Autorun(2010 年在全世界超过 900 万台唯一的计算机上检测到)和 Win32/Conficker
(2010 年在全世界超过 650 万台唯一的计算机上检测到)在恶意软件感染率较高和较低的国家
/地区(芬兰除外)的威胁类别中均名列前十。
澳大利亚、芬兰、德国和日本的恶意软件感染率相对较低,但这不一定意味着这些国家/地区内的
犯罪行为不活跃。例如:
2010 年,在德国发现的恶意软件承载网站数(每 1,000 个宿主)多于在美国发现的数量。
2010 年上半年,芬兰的承载推动式下载内容的网站的百分比几乎是美国的两倍。
2010 年第 4 季度,在德国发现的承载推动式下载内容的网站的百分比比在美国发现的高 3.7 倍。
2010 年上半年,日本的承载推动式下载内容的网站的百分比比美国的高 12%。但此百分比在
2010 年第 4 季度在这两个地方都急剧下降。在第 4 季度,日本的承载推动式下载内容的网站
的百分比比美国的高 4.7 倍。
这些国家/地区的安全专家指出,以下因素导致其所在国家/地区的恶意软件感染率一直偏低:
存在强大的公私合作关系,可实现主动且响应性较强的功能。
计算机紧急响应团队 (CERT)、互联网服务提供商 (ISP) 和主动监视威胁的其他人可提供对新出
现的威胁的快速响应。
系统管理员用来快速响应系统感染或滥用的报告的 IT 区域性很有帮助。
这些国家/地区的强制实施策略和通过隔离网络上受感染的系统进行的灵活威胁补救措施十分有效。
29
帮助提高公众对安全问题的意识的教育活动和媒体关注可能产生了不错的效果。
较低的软件盗版率和 Windows Update/Microsoft Update 的广泛使用有助于将感染率维持在
低水平。
此列表与 Microsoft 可信计算部门的公司副总裁 Scott Charney 在 2010 年所著的文章中的“集体防
御”概念有着惊人的相似之处。“集体防御:将公众健康模型应用于互联网”(PDF) 概述了用于改
善连接到互联网的设备的运行状况的模型。为了达到此目的,政府、IT 行业和 ISP 应确保在为客户
设备授予对互联网的自由访问权限前检查其运行状况。此文章中提供的方法是考虑使用类似于某个
社会用来解决人类疾病的模型解决网络安全问题。公众健康模型包含几个可应用于互联网安全的有
趣概念。
世界上感染率一直最低的国家/地区似乎已在执行集体防御健康模型所建议的很多工作。可在此处
的可信计算网站上找到查看该模型的视频。
30
Windows Update 和 Microsoft Update
Microsoft 提供了几种工具和服务,用于支持系统或其用户直接从 Microsoft 下载和安装更新;
对于商业客户,则支持从由其系统管理员管理的更新服务器下载和安装更新。更新客户端软件
(在 Windows XP 和 Windows Server 2003 中称为“自动更新”,在 Windows 7、Windows Vista
和 Windows Server 2008 中简单地称为“Windows Update”)将连接到更新服务以获取可用更新
的列表。在更新客户端确定适用于每个唯一的系统的更新后,它会安装更新或通知用户更新已可用,
具体取决于该客户端的配置方式和每个更新的性质。
对于用户,Microsoft 将提供两个更新客户端可使用的更新服务:
Windows Update 为 Windows 组件以及 Microsoft 和其他硬件供应商提供的设备驱动程序提供
更新。Windows Update 还为 Microsoft 反恶意软件产品和 MSRT 的每月发布分发签名更新。
默认情况下,当用户启用自动更新时,更新客户端将连接到 Windows Update 服务以进行更新。
Microsoft Update 将提供通过 Windows Update 提供的所有更新以及针对其他 Microsoft 软件
(如 Microsoft Office 系统、Microsoft SQL Server 和 Microsoft Exchange Server)的更新。用户
在安装软件时可选择通过 Microsoft Update 提供的服务或位于 Microsoft Update 网站上的服务。
企业客户还可以使用 Windows Server Update Services (WSUS) 或管理产品的 Microsoft System
Center 2012 系列为其托管计算机提供更新服务。
31
图 22:2006 年下半年至 2011 年下半年 Windows Update 和 Microsoft Update 的使用情况(以 2006 年下半年的
总使用数作为指数编制基准)
自 2005 年引入 Microsoft Update 以来,其使用量急剧增长。
32
结束语
此特殊版本的 SIR 提供了有关恶意软件和其他形式的可能不需要的软件在过去 10 年间的演变的
信息。
计算已成为我们日常生活的一部分,现代社会的基础变得越来越倾向于数字化。信息和通讯技术
(ICT) 的变革改善了我们的生活水平,但当今社会仍在面临一些长期存在并且不断演变的挑战。
随着连接到互联网的人员、计算机和设备的数量的增加,网络威胁在收集敏感收集、中断关键
操作和进行欺诈的手段方面变得越来越高明。
当今的网络威胁的特征是技术先进、影响持久、资金丰厚并且以利润或策略优势为动力。对于面对
各种非静态威胁的所有互联网用户、组织、政府和消费者等而言,安全情报是很有价值的资产。由
于我们生活在一个依赖于 IT 的世界,因此 Microsoft 现在在安全、隐私和可靠性方面的投入可能比
可信计算部门在 2002 年建立时更为重要。
很多行业和组织(包括 Microsoft)都在研究情报、软件开发方法和工具上投入了大量精力,以帮助
政府、行业和个人更有效地减少和管理因快速变化的威胁概况的不确定性而产生的风险。面对设备、
服务和通信技术不断发展的新环境,Microsoft 可信计算部门将继续致力于计算生态系统。
33
附录 A:计算机保护技术和缓解
应对威胁和风险需要全世界的人们、组织和政府方面的共同努力。Microsoft 安全情报报告 (SIR)
网站的“管理风险”部分介绍了许多建议,用于阻止恶意软件、安全漏洞和其他安全威胁的恶意
行为并在恶意行为发生时监测和缓解问题。网站此部分的主题包括:
“保护组织”,为小型、中型和大型组织中的 IT 管理员在试图改进其安全性实践并紧跟最新
开发时提供指导。
“保护软件”,为软件开发人员提供有关开发安全软件(包括内部软件)和保护面向互联网系
统不受攻击的信息。
“保护人员”,为在组织内部提高对安全性威胁和安全互联网使用习惯的认知提供指导。
下面的文档还提供有关漏洞和恶意软件防御努力的其他帮助信息:
信息共享和 MSRC 2010,Microsoft 安全响应中心发布的一个报告。
缓解软件漏洞白皮书
Microsoft 恶意软件研究和响应。此报告着重介绍 Microsoft 恶意软件防护中心的角色和活动,
以及提供彻底、持续的恶意软件研究和响应的愿景。
介绍 Microsoft 反恶意软件技术。此白皮书有助于 IT 专业人员了解恶意软件整体概况以及如何
利用其反恶意软件技术中的功能。
34
附录 B:此报告中引用的威胁系列
此报告中所引用威胁系列的定义都是从 Microsoft 恶意软件防护中心恶意软件百科全书中改编的,
该书包含有关大量恶意软件和可能不需要的软件系列的详细信息。有关这里列出的系列和报告中
所有系列的更深入信息和指南,请参阅此百科全书。
Win32/Alureon。一种数据窃取特洛伊木马程序,从传入和传出的互联网通信中收集机密信息,
比如用户名、密码和信用卡数据。它还会下载恶意数据并修改 DNS 设置。
Win32/Autorun。一个蠕虫系列,通过将自身复制到受感染计算机的映射驱动器来进行传播。
映射驱动器可能包含网络或可移动的驱动器。
Win32/Bagle。一种蠕虫病毒,通过用电子邮件将自身发送到受感染计算机上的地址进行传播。
一些变体还通过 P2P 网络进行传播。Bagle 用作一种后门木马病毒,可以用它来发布其他恶意软件。
Win32/ClickPotato。一个程序,根据用户浏览习惯来显示弹出和通知风格的广告。
Win32/Conficker。一种蠕虫病毒,通过攻击安全公告 MS08-067 解决的漏洞进行传播。某些变体
还通过可移动的驱动器或攻击弱密码进行传播。它会禁用若干重要的系统服务和安全产品并下载任
意文件。
Win32/FakeSpyPro。在 Antivirus System PRO、Spyware Protect 2009 和其他名称下发布的一个
流氓安全软件系列。
Win32/Fixer。一种恶意软件,查找多个注册表项和其他类型的数据,将它们错误地标识为隐私违
反并提示用户购买产品以删除所谓的违反。
Win32/Fixer。一个大型密码窃取木马病毒系列,从大型多人在线游戏中窃取机密数据,比如帐户
信息。
Win32/Hiloti。一个木马病毒系列,妨碍受影响用户的浏览习惯并下载和执行任意文件。
Win32/Keygen。对为非法获取的多个软件产品版本生成产品密钥的工具的通用检测。
Win32/Msblast。一个网络蠕虫系列,攻击 Microsoft Windows 2000 和 Windows XP 中的漏洞,
还可能会在某些服务器站点上尝试拒绝服务 (DoS) 攻击或创建后门程序以允许攻击者访问受感染的
计算机。
Win32/Mydoom。一个混合邮件蠕虫系列,充当后门木马,允许攻击者访问受感染的系统。
Win32/Mydoom 可以用来发布其他恶意软件,某些变体会发起对特定网站的 DoS 攻击。
35
Win32/Nimda。一个蠕虫系列,其目标是运行某些版本 Windows 的计算机,攻击 Microsoft 安全
公告 MS01-020 中描述的漏洞,通过感染 Web 内容文档并将自身附加在电子邮件中进行传播。
Win32/OpenCandy。一类可能与某些第三方软件安装程序绑定的恶意广告软件程序。某些版本
会在未获得充分的用户同意的情况下将用户特定的信息,包含一个唯一机器编码、操作系统信息、
区域设置和某些其他信息,发送到一个远程服务器。
JS/Pornpop。专门针对尝试显示隐藏式弹出式广告(通常带有成人内容)的支持 JavaScript 的对
象的一般检测。
Win32/Rbot。一个后门木马系列,其目标是 Windows 的某些版本,允许攻击者通过 IRC 通道控
制受感染的计算机。
Win32/Renos。一个木马下载程序系列,安装流氓安全软件。
Win32/Rimecud。一个蠕虫系列,带有多个组件,通过固定和可移动的驱动器以及即时邮件进行
传播。它还包含后门功能,允许对受感染系统的未授权访问。
Win32/Rustock。由多个部分组成的启用 Rootkit 的后门木马病毒系列,这些木马病毒的最初开发
是在 2006 年左右,目的是帮助分发垃圾邮件。
Win32/Sasser。一个网络蠕虫系列,它攻击 Microsoft 安全更新 MS04-011 中确定的本地安全机构
子系统服务 (LSASS) 漏洞。
Win32/Sdbot。一个后门木马系列,允许攻击者控制受感染的计算机。
Win32/Sircam。一个混合邮件网络蠕虫系列,其目标是 Windows 的某些版本,通过将其自身的
副本作为邮件附件发送到受感染计算机上的电子邮件地址进行传播。
Win32/Starware。一个 Web 浏览器工具栏,用流行的搜索引擎监视搜索,随后执行自己的搜索
并在浏览器窗口内部的 IFrame 中显示结果。
Win32/Taterf。一个蠕虫系列,通过映射驱动器窃取流行在线游戏的登录和帐户信息进行传播。
Win32/Wukill。一个混合邮件和网络蠕虫系列,传播到某些本地和映射驱动器的根目录上。它还
通过将自身的副本作为电子邮件附件发送到受感染计算机上的电子邮件地址进行传播。
Win32/Zlob。一个大型多组件恶意软件系列,修改 Windows Internet Explorer 设置,更改用户默
认的互联网搜索页和主页并尝试下载和执行任意文件(包括附带的恶意软件)。
Win32/Zotob。一种网络蠕虫病毒,其主要目标是运行 Windows 2000 而没有安装 Microsoft 安全
公告 MS05-039 的计算机,它攻击 Windows 即插即用缓冲溢出漏洞。
Win32/Zwangi。一个在后台运行的程序,它更改 Web 浏览器设置以访问特定的网站。
