25亿像素的大照片 P2P视频下载60%为情色 两大浏览器龙虎争霸 最佳创意产品NuLOOQ 迅雷存在严重DDOS漏洞 Windows的环保卫士 Vista和XP响应速度相近 用注册表砌安全墙 插件让IE向Maxthon看齐 把摄像头变3D扫描器 搜狐数字艺术博客大赛 低端显卡Aero亦流畅 搜狗拼音输入法 | 暴风影音 | WinRAR | FlashGet | 瑞星卡卡 | Firefox | Picasa 搜狗工具条 | ACDSee | Maxthon | Internet Explorer | Windows Live Messenger

　　2002年1月28日，托管安全服务公司Riptech发表了第一期《互联网安全威胁报告》。2002年7月，该公司被赛门铁克收购。第一期《互联网安全威胁报告》超过33页，是第一个在一份全面的文档中汇总和分析网络攻击趋势的报告。第一期基于Riptech使用防火墙和入侵检测系统捕获的数据，该公司的分析人员使用这些系统，编制出与攻击趋势有关的同类第一份报告。在第一期中，Code Red(红色代码)和Nimda(尼姆达病毒)在整个威胁格局中占主导地位，多种威胁相结合及攻击周边是攻击者惯用的伎俩。

　　从第一期报告发表以来，形势发生了很大的变化。针对每台设备和每个人的大型互联网蠕虫病毒已经让位给更小、针对性更强的攻击，这些攻击的重点是诈骗、窃取数据和犯罪活动。涂改网页及收集低级信息的攻击已经过时了。今天，我们正看到加密的bot僵尸程序网络、远程发起的数据库攻击、完善的网页仿冒攻击及针对特定公司的定制恶意代码。随着威胁不断发展，跟踪和报告这些威胁的工作也在发展。

　　赛门铁克《互联网安全威胁报告》提供了过去六个月中互联网威胁活动的最新动态，包括分析基于网络的攻击，考察已知的漏洞，重点介绍恶意代码和网页仿冒威胁、垃圾邮件和安全风险。最新的《互联网安全威胁报告》研究成果就即将发生的威胁和当前发展趋势对读者发出警报。此外，它还为防止和消除这些问题提供部分建议。本期报告涵盖了2006年1月1日到2006年6月30日六个月的时间周期。

　　Symantec™全球智能网络（Global Intelligence Network）包含赛门铁克DeepSight™威胁管理系统和Symantec™ 托管安全服务，由分布在180多个国家/地区的40,000 多个传感器组成，监控网络活动并全面追踪整个互联网上的攻击活动。此外，赛门铁克还从已部署赛门铁克防病毒产品的1.2亿个客户端、服务器和网关系统中收集恶意代码数据以及间谍软件和广告软件报告。

　　赛门铁克拥有并维护全球最全面的安全漏洞数据库，涵盖可能危及4,000多家厂商30,000多项技术的18,000多个漏洞。同时，赛门铁克还负责BugTraq的营运——BugTraq是互联网最热门的漏洞披露及讨论论坛之一。此外，拥有200多万个诱饵帐户的赛门铁克探测网络（Symantec Probe Network）系统自动接收来自全球20个不同国家的电子邮件，从而使赛门铁克能对全球的垃圾邮件和网页仿冒活动进行评估。最后，赛门铁克网页仿冒报告网络(Phish Report Network)提供了一个全面的防欺诈社区，其成员可以提供和接收欺诈性的网站地址，通过各种解决方案发出警报及进行过滤。这些资源赋予赛门铁克分析人员丰富的信息渠道，用以识别攻击和恶意代码活动的最新发展趋势，使赛门铁克能够最全面、最完全地分析世界上当前互联网威胁活动。

　　赛门铁克《互联网安全威胁报告》主要以针对实际数据的专业分析为基础。建立在赛门铁克专业知识和经验基础上的《互联网安全威胁报告》对当前互联网安全威胁活动做了最有见地的评论。通过在《互联网安全威胁报告》中发布互联网安全活动讨论分析，赛门铁克旨在为信息安全界提供现在和将来保护其系统安全所需的信息。

　　存档信息

　　前几期赛门铁克《互联网安全威胁报告》已经讨论了威胁格局的转移趋势。随着各厂商和企业实现最佳的安全措施及深入防范策略，适应不断变化的威胁环境，攻击者已经开始采用新技术。与以前观察到的基于网络的普遍攻击不同，攻击者现在的攻击重点一般更加明确，恶意代码和攻击的针对性更强，其主要针对客户端应用、Web应用和基于Web的服务。

　　这在2006年前六个月中得到了很好的体现，在新披露的所有漏洞中，有69%针对Web应用。之所以有这么多的漏洞，在一定程度上是由于Web应用的流行及利用Web应用中的漏洞较传统应用相对简便。此外，Web应用的发布周期一般要快于传统桌面和服务器应用，其安全审计程度可能不如传统软件。攻击者正日益针对Web应用，以期攻破Web 2.0技术，这些技术采用多种Web服务，作为传播恶意代码、盗取机密信息或破坏最终用户系统的手段。

　　网络浏览器也成为安全研究和攻击活动的显著目标。在2006年前六个月中，赛门铁克存档了47个影响Mozilla浏览器的漏洞，包括Mozilla Firefox和Mozilla Browser。在同一时期，赛门铁克存档了38个Microsoft Internet Explorer中的新增漏洞，较之前六个月中公布的25个漏洞提高了52%。赛门铁克披露了影响Apple Safari的12个漏洞。网络浏览器仍是许多客户端漏洞的有效攻击武器，因为它集成了各种内容处理应用，如生产效率型软件包和媒体播放器。此外，网络浏览器攻击具有低调特点，使其特别适合有针对性的“zero-day”(零时)攻击。

　　网络浏览器攻击允许攻击者绕过传统外围安全设备，因为它们通过传统上没有过滤的网络端口执行攻击。因此，使用传统外围安全工具(如防火墙)并不能封锁这些攻击。针对网络浏览器的成功攻击一般允许攻击者攻破有漏洞的计算机，获得目前登录计算机的用户的权限。一旦网络浏览器攻击成功，攻击者可以使用被攻击的计算机作为平台，在这个平台上从外围安全防线后面对网络发起进一步攻击。攻击者可以对网络上的其它计算机发起攻击，或窃听内部网络业务。在2006年前六个月中，Microsoft Internet Explorer是针对性攻击最频繁的网络浏览器。针对它的攻击占针对网络浏览器的所有计算机攻击的47%。鉴于其是大型和小型机构及家庭用户部署最广泛的浏览器，Microsoft Internet Explorer所占的比重如此之高一点也不奇怪。

　　当前威胁格局的主要标志是恶意代码发生变化。当前的恶意代码不仅带有更小、攻击更有针对性、集中在欺诈、窃取数据和犯罪活动的特点，它还日益集中在各个企业身上。当前的恶意代码通常以较慢的速度传播，以避免被发现。攻击者似乎正在转向使用特洛伊木马发起有针对性的攻击。

　　在2006年前六个月，在报告的十大新恶意代码系列中，有五个是特洛伊木马。大批量邮件蠕虫病毒一般使用“机关枪”方法，把自己大量地发送到尽可能多的用户。但是，特洛伊木马现在通常是针对特定用户和群体编制的。例如，Mdropper.H Trojan利用Microsoft Word中的零天漏洞，以安装Ginwui后门程序变种。 包含Mdropper Trojan的Word文档会作为垃圾邮件，使用社会工程消息发送给选定的用户群，诱使收件人打开它。由于这些攻击有针对性特点，因此特洛伊木马将发送到一小群用户，使其变得不太明显，提交给反病毒厂商进行分析的可能性下降。

　　前几期赛门铁克《互联网安全威胁报告》已经谈到，攻击活动的动机已经从为了出名(或者说是恶名)转向为了获取经济利益。其结果，攻击通常要寻找对攻击者有一定价值的信息，如可以用来盗取身份或进行诈骗的个人信息。在企业环境中，可以使用这些有针对性的威胁，未经授权获得需要权限的专有信息，从而威及机构的知识产权。

　　在赛门铁克《互联网安全威胁报告》中，有针对性的攻击是指攻击某个行业中至少三个传感器，并排除所有其它行业的行为。有针对性的攻击一般以特定目的为动机，如获得机密信息，而不是普遍攻击，如拒绝服务(DoS)攻击，其并不是为了扫描任何特定信息。在2006年1月1日到6月30日，家庭用户领域收到的有针对性的攻击占总数的86%。由于家庭用户领域的计算机采用精心设计的安全措施和方式的可能性要低于其它领域，因此其面临有针对性的攻击时要脆弱得多。此外，由于家庭用户是盗取身份的沃土，因此面向家庭用户的许多有针对性的攻击都可能用于欺诈或其它以获取经济利益为目的的犯罪活动。

　　赛门铁克认为，攻击者的动机正日益变成获取经济利益，金融服务是2006年上半年有针对性的攻击发生第二频繁的领域，进一步证实了这一点。针对金融行业中的计算机的攻击者可能会寻找机密信息，如信用卡信息或银行信息，进而可以使用这些信息获得经济利益。

　　随着技术解决方案的效力日益提高，攻击者正恢复到比较古老的非技术攻击手段，如社会工程学，以成功地发动攻击。因此，攻击者的攻击活动正从网络设施和操作系统服务转向以最终用户为重点的攻击，因为最终用户是安全链条中最薄弱的环节。网页仿冒就是依靠社会工程成功进行攻击的攻击活动。网页仿冒者是指试图欺骗用户披露个人数据的群体或个人，如信用卡号码、网上银行凭证和其它敏感信息。然后他们可以使用这些信息进行诈骗活动。

　　在2006年前六个月，赛门铁克探查网络检测到157,477条独特的网页仿冒消息，这较2005年下半年检测到的86,906条提高了81%。毫不奇怪的是，金融领域是网页仿冒最严重的领域，在赛门铁克网页仿冒报告网络和赛门铁克Brightmail反垃圾邮件在此期间跟踪的所有网页仿冒网站中占到了84%。针对金融领域的网页仿冒攻击最有可能为攻击者带来最大的货币收益。一旦攻击者通过其中一个攻击获准接入攻击目标的帐户，那么他们可以进行转帐、挪用资金、申请贷款、赊帐或盗用信用卡。在此期间，十大网页仿冒中有九个来自金融领域，进一步证明网页仿冒活动高度集中在金融领域。

　　误导应用是为获取经济利益而提高社会工程使用量的又一个实例。误导应用提供虚假的或夸大的用户系统安全威胁报告，以说服用户花钱购买软件，或升级到据称能够消除发现的“威胁”的安全软件版本。如果用户同意购买软件，攻击者会获得用户的信用卡信息，然后可以使用这些信息进行犯罪活动。

　　在2006年前六个月中，十大新安全风险中有三个是误导应用，占2006年上半年十大新安全风险报告总量的50%。在此期间，在报告的三大安全风险中，有两个是误导应用，包括ErrorSafe ，其占提交的十大新安全风险总量的30%。

　　在2005年9月发布的《互联网安全威胁报告》“展望未来”一节中，赛门铁克预测模块化恶意代码将成为更显著的安全问题。 模块化恶意代码会攻击计算机，然后下载可能具有新的、可能破坏能力更强的后续代码。模块化恶意代码通常用来下载可以收集机密信息的程序，然后攻击者可以使用这些信息获得经济利益。在2006年1月1日到6月30日期间，模块化恶意代码占向赛门铁克报告的50大恶意代码总量的79%。在2006年上半年及2005年下半年，共报告了36种独特的模块化恶意代码。

　　外部攻击者可以使用Bots或远程控制的僵尸主机，对某个机构的网站发动DoS攻击，破坏机构通信，引发重大收入损失，或损害机构的声誉。此外，某个机构网络内部的bots僵尸程序可以用来攻击其它机构的网站，传播恶意代码，这都会带来严重的法律后果和商业后果。最后，攻击者可以使用bots僵尸程序，从被攻击的计算机中收集机密信息。在此期间，赛门铁克监测到每天平均活动的bot僵尸程序网络计算机数量为57,717台，6个月中共有4,696,903台活动的不同bot僵尸程序网络计算机。在此期间，赛门铁克还确定6,337台bot命令和控制服务器。

　　在2006年上半年，中国感染bot僵尸程序病毒的计算机数量最高，占全球总量的20%。中国北京是世界上感染bot僵尸程序病毒的计算机数量最高的城市，约占全球总量的3%。

　　在2006年上半年，中国还是攻击来源第二大的国家，占发动攻击的所有IP地址的10%。源于中国的攻击活动较2006年前六个月提高了37%，远远超过平均增长率16%。赛门铁克预计随着宽带上网的使用量提高，来自中国的攻击活动将继续提高。

(责任编辑：韩建光)