中国计算机病毒疫情调查技术分析报告 中国计算机病毒疫情调查技术分析报告 The Technology Analysis Report of MalThe Technology Analysis Report of Mal

ware Prevalence Survey in Chinaware Prevalence Survey in China 张健张健

Zhang JianZhang Jian

国家计算机病毒应急处理中心国家计算机病毒应急处理中心计算机病毒防治产品检验中心计算机病毒防治产品检验中心

National Computer Virus Emergency Response CenterNational Computer Virus Emergency Response Center

Anti-Virus Products Testing and Certification CenterAnti-Virus Products Testing and Certification Center

86-22-6621148786-22-66211487

Http://www.antivirus-China.org.cnHttp://www.antivirus-China.org.cn

国家信息化领导小组第五次会议 11 月 3日在北京召开。会议审议并原则通过《国家信息化发展战略 (2006—2020年 ) 》。其中提出注重建设信息安全保障体系，实现信息化与信息安全协调发展。

2001 年，由公安部公共信息网络安全监察局主办，国家计算机病毒应急处理中心等单位承办，开始在全国进行计算机病毒疫情调查活动，在 2003 年增加了对网络安全状况的调查内容，成为当前每年一度的信息网络安全状况与计算机病毒疫情调查活动 ，这是目前国内参与人数最多、最权威的信息网络安全调查。

信息网络安全状况与计算机病毒疫情调查简介

公安部网络安全状况调查结果

如何发现网络安全事件如何发现网络安全事件

如何发现网络安全事件（多选）

主要网络安全事件主要网络安全事件

发生的网络安全事件类型（多选）

我国计算机用户病毒感染率我国计算机用户病毒感染率

计算机病毒感染率

73%

83. 98% 85. 57% 87. 93%

80. 00%

50%

60%

70%

80%

90%

100%

2001年 2002年 2003年 2004年 2005年

( )中国互联网用户的数量 百万

26. 5

45. 8

68

87

103

0

20

40

60

80

100

120

2001年 2002年 2003年 2004年 2005年

计算机用户感染病毒的次数计算机用户感染病毒的次数

病毒重复感染情况

0%10%20%30%40%50%60%70%80%90%

1次 2次 3次以上

20012002200320042005

不同时期的病毒感染情况不同时期的病毒感染情况

不同时期病毒感染情况

0. 00%2. 00%4. 00%6. 00%8. 00%10. 00%12. 00%14. 00%16. 00%18. 00%

5月 6月 7月 8月 9月 10月 11月 12月 一月 二月 三月 四月

2001-2002年2002-2003年2003-2004年2004-2005

病毒造成破坏的情况病毒造成破坏的情况

病毒造成破坏的情况

43%

64. 05% 63. 57%

49. 38% 51. 27%

0%10%20%30%40%50%60%70%

2001年 2002年 2003年 2004年 2005年

病毒破坏的后果病毒破坏的后果

造成破坏的后果

0%5%

10%15%20%25%

200320042005

病毒传播的主要途径病毒传播的主要途径

病毒传播的主要途径

0%

10%

20%

30%

40%

50%

60%

网络下载或浏览 电子邮件 局域网 光盘或磁盘

20012002200320042005

我国最流行的十种病毒我国最流行的十种病毒 时间排名 (2001,5)

（ 2002,5 ） (2003,5) （ 2004 ， 5 ） （ 2005 ， 5 ）

1 CIH Exploit Redlof Netsky Trojan.PSW.LMir

2 Funlove Nimda Spage Redlof Qqpass

3 Binghe Binghe Nimda Homepage Netsky

4W97M.marke

rJS.Seeker Trojan.QQKiller6.8.ser Unknown mail Blaster exploit

5 MTX Happytime Klez Lovegate Gaobot

6 Troj.erase Funlove Funlove Funlove Mht exploit

7 BO Klez JS.AppletAcx htadropper Redlof

8 YAI CIH Mail.virus Webimport BackDoor.Rbot

9 Wyx Gop Script.exploit.htm.page activeXComponent Beagle

10 Troj.gdoor Troj.netthief Hack.crack.foxmail Wyx Lovegate

近期安全事件回顾近期安全事件回顾 英国警方的国家高科技犯罪小组破获一起网上银行“抢劫”案，

有人侵入日本三井住友银行英国分行的电脑系统，利用一种能够记录键盘输入活动的病毒软件，盗取银行账号和密码。试图将 2.2 亿英镑 ( 约合 4.23 亿美元 ) 转移至他们分别在不同国家开设的 10 个账户。

以色列媒体最近几天连篇累牍地报道以色列历史上最大商业间谍案。涉嫌利用计算机网络以非法手段窃取商业情报的侦探来自以色列三家著名私人侦探事务所，以色列一些最知名公司涉嫌雇用这些私人侦探获取竞争对手的商业机密。作案手段采用了计算机“黑客”技术，通过对目标系统植入“特洛伊木马”病毒，木马程序不但可以从计算机系统中窃取资料和照片，然后传送到任何指定的地方，而且还可以控制计算机系统，对计算机文件进行改写或删除等操作。

黑客操控六万台电脑制造攻击网络被抓获

德国计算机安全专家警告，全球至少有 100万部个人电脑受控于黑客成为“肉机”。

通过 IM(即时通讯 ) 传播的病毒每月以 50% 的速度递增

理论上，可以在 30秒内感染 50万台电脑。

病毒的发展趋势病毒的发展趋势 黑客、木马和间谍软件数量大幅度增长 Botnet 日益严重 IM 和 P2P 软件成为传播病毒主要途径 病毒的目的性愈来愈强 手机病毒提高防范程度 警惕利用 IM 等应用软件漏洞自动传播的病毒 Phishing 和 Pharming 成为新的网络公害

网络欺诈网络欺诈 网络仿冒（ Phishing）域欺骗（ Pharming）

网络仿冒与域欺骗的现状网络仿冒与域欺骗的现状 发展迅速、形势严峻发展迅速、形势严峻

国家和地区 所占比例

美国 27.9%

中国（含台湾、香港） 12.15%

韩国 9.6%

法国 4.07%

日本 3.65%

德国 3.23%

澳大利亚 3.05%

俄罗斯 2.4%

加拿大 2.21%

瑞典 2.04%

网络仿冒与域欺骗的特点网络仿冒与域欺骗的特点 犯罪活动具有组织性、专业化特点

– 疑犯都受雇于犯罪集团 目标针对性强、涉及地域广范

– 西班牙、新加坡、澳大利亚、加拿大、中国、中国香港甚至瑞士的全球 35 家银行

我国形势不容乐观– 多家商业银行遭受仿冒

国外反网络欺诈组织的情况国外反网络欺诈组织的情况

网络欺诈投诉中心网络欺诈投诉中心 美国司法部与联邦调查局（ FBI）与国家白领

犯罪中心于今年 5 月 8 日成立“网络欺诈投诉中心”网站（ the Internet Fraud Complaint Center; IFCC），网址为 http://www.ifccfbi.gov/index.asp ，让消费者及公司企业对于网络欺诈事件多了一个强有力的投诉举报途径。

反网络钓鱼工作小组（反网络钓鱼工作小组（ APWGAPWG ）） “ 网络钓鱼”的危害引起了业界高度重视，反

网络钓鱼工作小组（ APWG）就是为此而专门成立的，网址为 http://www.antiphishing.org/ 。它拥有大约 1300名成员，包括近 800 家公司和机构、美国十大银行中的八家、美国五个互联网服务提供商中的四家、众多的 IT企业、国家法律执行机构和立法机构

近期成立的可信电子通信论坛 (TECF) ，网址为 http://www.tecf.org/ 。其成立的宗旨也是为了对抗日益严重的各种网络欺诈行为。保护企业和消费者的利益。越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出 4.6万美元的软件，协助防治“网络钓鱼”。

可信电子通信论坛可信电子通信论坛

网络欺诈的主要方法网络欺诈的主要方法 利用垃圾寄邮件和社会工程手段 利用病毒木马技术 利用黑客攻击手段

公安部正在组织国家计算机病毒应急处理中心和国家反计算机入侵和防病毒研究中心 等单位组成反欺诈联盟，协助警方应对不断增长的网络欺诈事件。

国家计算机病毒应急处理中心推出网络欺诈国家计算机病毒应急处理中心推出网络欺诈专题，并公布了网络欺诈举报电子邮箱：专题，并公布了网络欺诈举报电子邮箱： aa

ntiphishing@antivirus-china.org.cnntiphishing@antivirus-china.org.cn

UserComputer Server

Sniffer Servermonitoring/analysis

Sniffer Servermonitoring/analysis

UserComputer Server

Computer

建立计算机病毒预警监测体系建立计算机病毒预警监测体系

Drcom计费

7206

3524

交换机

www E-mail hp01 hp02 hp03 hp04

开发

65098510

3548 小区

2948 小区

5024 中心内部小区用户1924 小区

1924 小区

f3/1

f4/0/7 f2

f46

g1/0/0

3/1

磁盘阵列

千兆小区千兆小区

Modem 池

HFC

1000M

1000M

1000M1000M

Hub

Drcom 服务器

客服中心

管理机

DNS DHCP

网络示意图

国家计算机病毒应急中心的现状和发展国家计算机病毒应急中心的现状和发展

建立病毒监测网络– 国内外反病毒厂家成为病毒应急小组成员– 计算机用户主动上报病毒疫情

发现和处置计算机病毒事件– 2004 年一共处理求救电子邮件 3040余封，求救电话 2000余

次 – 对出现的 重、特大病毒疫情，及时组织国内病毒应急小组，

进行紧急处置。及时上报病毒技术分析报告，监测病毒疫情，发布病毒解决方案，为国内计算机用户提供紧急救援服务

在重大事件和节日期间组成专门应急小组– 组织国内、外防病毒厂家成立“两会计算机病毒应急小组”– 监测我国计算机病毒疫情发展动态，每日上报病毒疫情发展动态为两会提供网络安全保障

国家计算机病毒应急中心的现状和发展国家计算机病毒应急中心的现状和发展（续）（续）

发布计算机病毒预警信息– 2004 年共发布 52 期计算机病毒监测周报– 2004 年共发布 52 期计算机病毒预报

建立病毒防治宣传阵地– 与中央电视台合作开辟计算机病毒预报节目– 与新华社合作发布病毒预告– 2005 年 4 月开通了手机短信预警服务

• 中国移动用户– 病毒预报 XFD到 3721– 反病毒公告栏 XED到 3721

2006 年将建立网络安全服务中心，提供安全外包服务– 前期安全评估服务– 制定安全策略和方案– 在线实时预警监测服务– 安全认证培训等

我国计算机病毒防治与应急处置策略我国计算机病毒防治与应急处置策略 依法加强对网络安全监督检查力度，遏制计算机病毒传播蔓延，净化网

络空间 严厉打击制造、传播计算机病毒等有害程序的犯罪活动 加强管理措施，建立、健全严格的病毒防治规章制度和动态的技术防控策略，并坚决贯彻执行

加快我国计算机病毒预警监测体系建设 进一步规范我国计算机病毒信息发布工作 建立快速、有效的计算机病毒应急救援体系 加大对病毒防治新技术、新产品的研发力度 加强对计算机病毒防治产品的质量监督工作 加强对各类网上交易系统的安全保障措施 加强信息安全培训，普及提高安全防范意识和病毒防治技术 建立动态的计算机病毒危害性评估制度 建立专业化安全咨询和服务体系 推进我国信息安全托管服务，利用应急体系获取掌握最新网络安全事件，

通过全天候实时监视和管理，提高用户的安全 加强国际间的交流合作

谢谢！谢谢！

国家计算机病毒应急处理中心国家计算机病毒应急处理中心计算机病毒防治产品检验中心计算机病毒防治产品检验中心

Http://www.antivirus-China.org.cnHttp://www.antivirus-China.org.cn86-22-6621148786-22-66211487