（3）病毒技术趋势：病毒更简单 功能多元化

         根据瑞星研发团队对2011年新增感染型病毒样本的感染行为分析来看，病毒的编译方式正在发生巨大的变化，从传统的低级汇编语言撰写逐渐转变为类似“汇编+C语言”这样的混合撰写模式，病毒用短小精悍的汇编引导部分，去加载C语言（或其他高级语言）编写的主体，这样结构简单、工作量更小，病毒运行也更加稳定而隐秘。

         5月份，瑞星发布安全警告指出，“未来用高级语言编写病毒会在未来形成主流”，事实上，截至2011年度末，瑞星共截获感染型病毒（win32）约80万个，已经成为木马之后的第二大类恶意程序。这种病毒包括了下载运行、广告程序、盗取隐私、远程控制等多种功能模块。可以说，这类病毒的结构和编写越来越简单，而能实现的功能却越来越复杂和完善。

         从瑞星截获的病毒样本来看，感染型病毒并不是以传播作为最终目的，而是作为其他病毒程序的跳板，将它们传播到计算机的各个角落后，再将其载体激活后完成最终的目的。这类病毒就像空军的“运输机”，它的作用就是骗过系统和杀毒软件，把各种各样的病毒运到目的地。

         从感染型病毒的发展趋势来看，木马与病毒的界限越来越模糊，功能趋向统一化。传统意义上木马和病毒的区分主要在于他们的特征，木马善于潜伏并完成某种预先设定的功能，而病毒主要拥有感染传播的能力。就目前的感染型病毒的发展趋势来看，感染型病毒逐渐采纳了木马程序的编写手段和功能，而木马程序的传播途径上又存在着与感染型病毒趋近的趋势，这两种病毒“长得越来越像”。

         恶意程序都是出于某种特殊目的而产生的，病毒的制作者也会考虑到各种不同恶意程序的优处和不足，并使之相互弥补和融合。但总体上，不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的，功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。

         （4）挂马网站保持平稳

         瑞星“云安全”数据中心的统计表明，2011年截获的挂马网站，比去年同期下降了89.74%。分析其中的原因，瑞星安全专家指出，“云安全”的成功应用、瑞星杀毒软件永久免费后安装量的增长，促使网民整体的安全防护能力比以前有较大提高，黑客挂马行为变得困难而高风险，从而打破了“挂马产业链”的黑色链条。

         报告期内，瑞星共截获挂马网站3,471,148个，受害网民8065万。其中下半年截获110万，比上半年的236万有大幅下降。从数据上来看，单个挂马网站的侵害人数保持平稳，这说明黑客并未放弃网站挂马的攻击方式。

         瑞星公司统计了黑客用来挂马的9大漏洞，存在漏洞的软件集中在浏览器和flash插件上，其中5个漏洞与IE有关，3个与Adobe Flash Player有关。Flash作为一种纯网络化、跨平台的应用，其在移动平台上的安全风险也不可低估，例如在安卓系统上，就有可以被利用来进行挂马的Flash漏洞，随着智能手机、平板运算能力的增加，未来可能在移动平台出现大量的挂马攻击。

         目前，网络上仍充斥着大量“挂马网站”，广大网民应该提高安全意识，可以安装永久免费的瑞星杀毒软件和防火墙，其中含有的智能反钓鱼技术和防挂马技术，可以拦截钓鱼网站和挂马网站，帮助用户抵御安全风险。

         （注）挂马网站：指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。木马网站：是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中运行。

         第二节   席卷互联网的密码风暴

         12月4日，匿名黑客将CSDN网站的密码库截图上传到专业安全论坛，但当时并未引人注目，21日有人在新浪微博上放出了这个密码库的迅雷下载地址。这验证了长久以来在互联网上存在的一个传言：国内多家大型网站曾被“拖库”，但因为没有确凿的证据无法得到验证（《瑞星2011上半年安全报告》中记录了相关内容）。

         随后，包括天涯、新浪等一批著名网站数据库连续外泄，形成了2011年末影响整个互联网的安全大事件，给本已脆弱的互联网安全造成了巨大冲击。在本报告后半部分，瑞星专家剖析了黑客推广钓鱼网站的手法、增加用户信任度的方法等，在这些推广方式中，外泄的密码库起到了关键性的作用。

         1、为什么会出现这样大规模的密码泄漏？

         从已经公开的资料来看，这些网站不同程度地使用明文存储用户的数据库，这是造成如此大规模用户资料泄漏的根本原因。按照正常的安全流程，所有网站（不分大小，小网站也得加密）的数据库都必须经过加密后才能存储在服务器上，加密标准要求为：唯一、不可逆。

         目前应用较多的不可逆加密算法包括RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS（Secure Hash Standard-安全杂乱信息标准）等。

         但事实上，很多网站、甚至是大型网站不知道什么原因，都采用了明文的方式把用户数据库储存在自己的服务器上。有的是整体库未加密（如CSDN），有的是某项业务的用户数据库未加密（如新浪爱问）。这就导致当黑客获取服务器权限之后，可以像看自己电脑上的文本文件一样浏览用户名和密码，导致大规模密码及其他信息外泄。

         2、密码外泄是中国网站独有的吗，国外网站是什么情况？

         事实上，互联网没有国界之分，即使强大如美、日、韩等国的互联网，进入2011年以来都面临着同类问题，在《瑞星2011年上半年安全报告》中指出，单单在上半年，就有日本索尼公司、美国wordpress等网站遭攻击，损失惨重。

         4月21日下午，索尼PSN网络遭黑客攻击，波及包括美国、日本、欧洲等地几乎全球各地的所有PSN用户，PSN几乎陷入了彻底的瘫痪。黑客入侵者窃取了大约7700万份PSN个人信息以及2700万个Qriocity（云音乐服务）账户。

         被窃的7700万份PSN个人信息当中，包括1000多万个信用卡账户，涉及57个国家和地区。而2700万个Qriocity账户中，也同时包含了用户的姓名、地址和密码等敏感信息。索尼数据遭窃案受影响的用户可能超过1亿人，堪称史上规模最大的用户数据失窃案。

         4月，Wordpress.com遭到攻击，其服务器被黑客入侵，并盗走了部分源代码和资料，导致VIP客户的隐私信息外泄。在此次事件中可能泄露的众多网站源代码中，可能包括API密钥和Twitter、Facebook密码等敏感信息。WordPress.com服务于1800万博客和网站，其中包括TED、CBS和TechCrunch博客等，其服务网站占全球网站数量的10%。

         3、针对这些密码外泄，普通网民可以采取的六种防范措施

         目前我们看到的问题在于：大型互联网公司在服务器端出现了安全问题，用户即使在自己电脑上做再多的防护措施，也无济于事，用户面对这些密码泄露问题几乎毫无办法。

         在这种情况下，普通用户只能通过采取下列措施来缓和密码外泄的风险，但不能从根本上解决密码泄漏问题：

         （1）不要信任任何网站的安全防护措施，不要觉得他们是大网站就一定能保护好自己的密码。连CSDN这样的专业网站、天涯、新浪这样的领头羊企业都会出现密码外泄问题，我们只能假定一切密码都时刻面临外泄风险，在此基础上确定自己的安全策略。

         （2）不要随意注册无关网站账号，不要透露太多的个人信息，用户名、账号和密码尽量用随机数字，这样可以把网络和现实生活的影响降到最低。例如，注册论坛的时候，ID wangxiaoming的安全性就比 wag@！Jdm这样的账号低。因为黑客在获取用户的账号和密码后，需要对其中的账号进行分类整理，一旦能把这些账号和身份证、银行卡等对应起来，就会展开诈骗或者钓鱼。我们需要做的就是打破这个循环，尽量不要让黑客了解到自己的信息。

         （3）不要轻易在安全性低的网站购物，尤其是电商网站。一般的电子商务网站都会记录用户的银行卡信息（如果你使用银行卡支付），记录用户的电话号码（用来送货），有的会记录你的身份证号（比如你需要实名购买手机号码的时候），在这样情况下，黑客一旦攻击成功，会获取所有有价值的信息。如果有必要购物，可以采用”货到付款”的方式，送货地址可以填写公司地址（不要填写家庭地址）。

         （4）注册网站账号之后，应定时更换密码。比如每个月把自己所有的账号密码都改为全新的密码。这样即使黑客窃取了你的密码，除非在一个月内进行登录、诈骗等，否则你就会改为新密码，从而使他窃取的密码失效。

         （5）如果注册多个密码，用户的记忆力将会面临挑战，普通网民可以把账号密码写在随身的本子上，或者记录在手机上，瑞星手机安全软件就提供了密码记录功能。

         （6）如果有必要，可以采取“密码和手机绑定”的方式，比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后，一旦有账号变动异常，用户会及时收到消息，及时申诉降低损失。

         本节小结

         尽管“拖库”攻击是个存在很久的攻击手法，但直到2011年年底，这个概念才被普通网民所知。由于这种攻击针对的是互联网网站的服务器端，如果各大网站在服务器端仍然坚持目前这种安全水准的话，同样的泄密事件会一直存在下去，用户几乎毫无办法。本节主要讨论了普通网民应该进行的预防性措施，对于互联网网站应该如何预防此类攻击，瑞星公司将在随后发布的企业级安全报告中详细阐述。