Microsoft Security Intelligence Report volume 9 Key Findings Summary Chinese (2010)

微软安全研究报告

本文仅供信息参考之用。MICROSOFT 对本文档中的信息不作任何明示、暗示或法定的

担保。

本文档将按“原样”提供。文档中所陈述的信息和观点，包括URL 和其他Internet 网站参考，如有更改，恕不另行通知。使用本文档的风险需要您自己承担。

版权所有 ? 2010 Microsoft Corporation。保留所有权利。

此处提到的真实公司和产品的名称可能是其各自拥有者的商标。

2

目录

关于此报告 (4)

内容范围 (4)

报告期限 (4)

命名约定 (4)

行业范围的漏洞披露 (5)

漏洞披露 (5)

漏洞严重性 (6)

漏洞复杂性 (7)

操作系统、浏览器和应用程序漏洞 (8)

指导：开发安全软件 (9)

Microsoft 产品的漏洞报告 (10)

协作漏洞披露 (10)

2010 年下半年的 Microsoft 安全公告 (11)

Windows Update 和 Microsoft Update 的使用趋势 (13)

更新客户端和服务 (13)

指导：保持软件最新 (14)

安全违规的发展趋势 (15)

指导：防止安全违规事件并减轻事件严重性 (16)

恶意软件及可能有害软件的趋势 (17)

地理统计信息 (18)

全球感染趋势 (19)

类别趋势 (20)

全球威胁类别 (22)

操作系统趋势 (23)

恶意软件及可能有害的软件系列 (25)

恶意安全软件 (26)

指导：防御恶意软件以及可能不需要的软件 (28)

电子邮件威胁 (29)

垃圾邮件趋势和统计信息 (29)

指导：防御电子邮件威胁 (33)

恶意网站和受攻击的网站 (34)

网络钓鱼站点分析 (35)

目标机构 (35)

网络钓鱼站点的地理分布 (37)

恶意软件主机分析 (37)

Web 上分布的恶意软件类型 (38)

恶意软件托管站点的地理分布 (40)

偷渡式下载站点分析 (40)

自动式 SQL 注入攻击 (42)

3

指导：帮助用户避开不安全的网站 (43)

关于此报告

内容范围

微软安全研究报告 (SIR) 关键调查结果主要提供每个公历年的

上半年和下半年发现的数据信息和发展趋势。您可以通过

https://www.doczj.com/doc/945803709.html,/sir下载以前的报告和相关资源。我们将继续关注第8 版的安全研究报告提供的恶意软件数据、软件漏洞披露数据、漏洞利用

数据和相关的发展趋势。

报告期限

在当前的安全研究报告版本中，有关恶意软件系列和病毒感染情况的统计

信息是按季度进行报告的，而其他统计信息将继续按半年为依据进行报告。报告中将使用n H yy或n Q yy的格式分别表示半年和季度时间期限，其中yy

表示公历年，而 n 表示半年或一个季度。例如，1H10 表示 2010 年上半年

（从 1 月 1 日至 6 月 30），而 2Q10 表示 2010 年第 2 季度（从 4 月 1 日至 6 月30 日）。为了避免出现混淆，在参阅此报告的统计信息时，请务必注意报

告的时段或引用的时段。

命名约定

此报告将使用 Microsoft 恶意软件防护中心 (MMPC) 的命名标准来命名恶意软

件和可能有害的软件系列及变体。有关此标准的相关信息，请参阅 MMPC

网站上的“Microsoft 恶意软件防护中心命名标准。”

4

行业范围的漏洞披露

漏洞是软件存在的各种缺陷，攻击者会利用这些缺陷破坏该软件的完整性、可用性或保密性。攻击者利用某些最严重的漏洞，甚至可以在受到威胁的

系统上运行任意代码。有关漏洞的详细信息，请参阅安全研究报告网站的“参考指南”部分中的“行业范围漏洞披露”。

此部分的信息是通过国家漏洞数据库 (https://www.doczj.com/doc/945803709.html,) 发布的漏洞披露数

据进行编译的，该数据库是美国政府使用安全内容自动化协议 (SCAP) 表示

的基于标准的漏洞管理数据库。

漏洞披露

图 1 列出了自 2006 年以来每半年所披露的软件行业漏洞数量。（有关此报

告中使用的报告时段术语的说明，请参阅第 4 页上的“关于此报告”。）

图 1. 2006 年下半年至 2010 年上半年披露的行业范围漏洞情况

?2010 年上半年披露的漏洞数量相比 2009 年下半年减少了 7.9%。

?这是自 2006 年下半年以来持续整体温和下滑的趋势。这一趋势很可能归因于开发实践以及软件行业质量控制的不断完善，其结果是软件更加安全，漏洞日益减少。（有关安全开发实践的其他详情和指导信息，请参阅安全研究报告网站的“风险管理”部分中的“软件安全保护”。）5

漏洞严重性

通用漏洞评分系统 (CVSS) 是一个与平台无关的、对 IT 漏洞进行评级的标准评分系统。目前，在其第二版中，系统会根据漏洞的严重性为漏洞指定从 0 到 10 的分数值，分数越高表明漏洞越严重。（更多详情，请参阅

安全研究报告网站的“参考指南”部分中的“漏洞严重性”。）

图 2. 2006 年下半年至 2010 年上半年按严重性披露的行业范围漏洞情况

?虽然披露的中级和高级严重性漏洞数量通常要远大于低级严重性漏洞数量，但是 2010 年上半年的发展趋势还是比较乐观的，其中，中级和高级漏洞数量分别比 2009 年下半年下降了 10.7% 和 9.3%。

?所披露的低级严重性漏洞数量从 2009 年下半年的 89 个增至 2010 年上半年的 126 个，增长了 41.6%。

?首要任务是减少最严重漏洞的数量，这是确保安全的最有效方法。分数在 9.9 或以上的高级严重性漏洞占 2010 年上半年披露的所有漏洞数量的

5.6%，如图 3 所示。这比 2009 年下半年的 7.2% 有所下降。

6

图 3. 2010 年上半年按严重性披露的行业范围漏洞情况

漏洞复杂性

有些漏洞要比其他漏洞更容易被攻击者利用，并且漏洞复杂性是确定漏洞威胁程度所需考虑的重要因素。由于高级严重性漏洞不像低级严重性漏洞那样容易受到更多攻击，只有在某些非常特殊的罕见情况下，才会受到攻击，因此受到的关注度稍低。

CVSS 为每个漏洞提供了低、中或高三个级别的复杂性评级。（有关 CVSS 复杂性评级系统的更多详情，请参阅安全研究报告网站的“参考指南”部分中的“漏洞严重性”。）图 4 显示了自 2006 年下半年以来每半年披露的各种漏洞的复杂性。请注意，低复杂性漏洞表明风险更大，正如图 2 中的高严重性漏洞表示的风险更大一样。

7

图 4. 2006 年下半年至 2010 年上半年按访问复杂性披露的行业范围漏洞情况

?与漏洞严重性一样，此处的发展趋势也是比较乐观的，其中披露的低级和中级复杂性漏洞数量分别比 2009 年下半年下降了 16.2% 和 4.5%。

?所披露的高复杂性漏洞数量从 2009 年下半年的 40 个增至 2010 年上半年的 95 个，增长了 137.5%。

操作系统、浏览器和应用程序漏洞

图 5 显示了自 2006 年下半年以来操作系统、浏览器和应用程序的行业范围漏洞情况。（有关如何区分操作系统、浏览器和应用程序漏洞的说明，请参阅安全研究报告网站的“参考指南”部分中的“操作系统和浏览器漏洞”。）

8

图 5. 2006 年下半年至 2010 年上半年披露的操作系统、浏览器和应用程序的行业范围漏洞情况

?虽然 2010 年上半年的应用程序漏洞总数比去年同期下降了 11.2%，但应用程序漏洞仍然占总漏洞数量的很大比重。

?操作系统和浏览器漏洞数量相比较而言保持在较稳定的状态，每种类型的漏洞数只占总数的很小一部分。

?浏览器的漏洞数量首次超过了操作系统的漏洞数量，从 2008 年上半年以来一直呈现逐步上升的态势。

指导：开发安全软件

安全开发生命周期 (https://www.doczj.com/doc/945803709.html,/sdl) 是一种软件开发方法，它将安全性和隐私性嵌入到整个开发过程的各个阶段，从而达到保护最终用户的目标。使用这类方法将有助于减少软件漏洞，并有助于管理软件部署后可能发现

的漏洞。（有关开发人员为确保其软件安全所用的 SDL 和其他技术的更多

详情，请参阅安全研究报告网站的“风险管理”部分中的“软件安全保护”。）

9

Microsoft 产品的漏洞报告

图 6 以图表的方式显示了自 2006 年下半年以来披露的 Microsoft 产品和非Microsoft 产品的漏洞情况。

图 6. 自 2006 年下半年至 2010 年上半年披露的 Microsoft 产品和非 Microsoft 产品的漏洞情况

?2010 年上半年披露的 Microsoft 产品漏洞数量略有上升，但在过去一段时间里总体保持平稳状态。

?Microsoft 产品的漏洞数量占2010 年上半年披露的所有漏洞数量的6.5%。

相比 2009 年下半年的 5.3%，该比例有所上升，其主要原因在于这一阶段披露的整个行业漏洞数量出现整体下滑。

协作漏洞披露

协作漏洞披露是指向相关的供应商私下披露漏洞，以便他们可以在这些漏

洞详细信息公之于众之前开发全面的安全更新来解决漏洞问题。最理想的

情况是，通过协作披露，安全更新的发布时间正好与漏洞信息公之于众的

时间相吻合。在将漏洞私下报告给相关的供应商以提供安全更新之前，

攻击者可能还不太了解这些漏洞。

10

图 7. 2006 年上半年至 2010 年上半年披露的协作漏洞数量占包含 Microsoft 软件在内的所有漏洞数量的百分比

?2010 年上半年，遵守协作披露机制的 Microsoft 软件漏洞披露数量占所有漏洞数量的 79.1%，相比 2009 年下半年的 80% 略有下降。

?尽管提交给 Microsoft 的总体案例数量有所波动，但协作披露数量自 2009 年上半年以来始终保持非常平稳的状态。

?协作披露数量包括漏洞代理提供给 MSRC 的漏洞披露数量。2010 年上半年，漏洞代理提交的披露数量占所有数量的 7.3%，相比 2009 年下半年的 8.6% 略有下降。

有关协作漏洞披露和漏洞代理的更多详情，请参阅安全研究报告网站的“参考指南”部分中的“协作漏洞披露”。

2010 年下半年的 Microsoft 安全公告

MSRC 每个月会发布一次安全公告，用于解决 Microsoft 软件中的漏洞。安全公告通常在每个月的第二个星期二进行发布，但 Microsoft 偶尔也会发布所谓的带外安全更新来解决紧急问题。一个安全公告通常可解决通用漏洞和披露 (CVE) 数据库 (https://www.doczj.com/doc/945803709.html,) 中的多个漏洞，其中每个漏洞将随同所有其他相关问题列在公告栏中（有关 CVSS 复杂性评级系统的更多详情，请参阅安全研究报告网站的“参考指南”部分中的“Microsoft 安全公告”。）

11

图 8. 2006 年上半年至 2010 年上半年 Microsoft 发布的安全公告和解决的 CVE 问题

图 9. 2006 年上半年至 2010 年上半年每个安全公告解决的平均 CVE 数量

?2010 年上半年，Microsoft 发布了 41 个安全公告，解决了 CVE 列表上列出的 114 个漏洞。

?所发布的整体公告数量相比 2009 年下半年的 47 个有所下降，但是 2010 年上半年解决的漏洞数量相比 2009 年下半年的 104 个则有所上升。因

而，每个公告所解决的漏洞数量从 2009 年下半年的平均 2.2 个上升至

2010 年上半年的 2.8 个。MSRC 会尽可能地整合影响单一二进制或组件

的多个漏洞，并通过一个安全公告来修补这些漏洞。此方法可以发挥每个更新的最大效用，并在测试以及将各个安全更新集成到其计算环境时，将客户可能遇到的不便降到最低。

12

Windows Update 和 Microsoft Update 的使用趋势

对安全更新以及其他软件升级进行迅速而广泛的普及，可以显著降低恶意软件的蔓延和影响。在过去的 10 年间，许多软件供应商形成了这样一些机制，就是向用户发送新更新可用的通知，并让用户自动便捷地获取和安装更新。具有安全意识的 IT 部门通过开发各种方法快速测试并评估新发布的更新并将这些更新提供给其用户，从而做出积极的响应。

更新客户端和服务

Microsoft 提供两种可公开使用的更新服务。Windows Update提供 Microsoft Windows?组件以及 Microsoft 和其他硬件供应商提供的设备驱动程序的更新以及 Microsoft 反恶意软件产品的更新。Microsoft Update提供通过 Windows Update 发送的所有更新，以及诸如 Microsoft Office 系统、Microsoft SQL Server?及 Microsoft Exchange Server 等其他 Microsoft 软件的更新。（有关这些服务的更多详情，请参阅安全研究报告网站的“参考指南”部分中的“Windows Update 和 Microsoft Update 的使用趋势”。）

图 10 显示了自 2006 年下半年以来这两种服务的相对使用率。

图 10. 2006 年下半年至 2009 年下半年 Windows Update 和 Microsoft Update 的使用率

（2006 年下半年的总使用率为 100%）

13

?Microsoft Update 的普及率在过去的几年间有了显著提高。使用更全面服务的计算机数量自 2009 年下半年以来涨幅超过了 10.7%。

?自 2006 年下半年以来，Windows Update 和 Microsoft Update 的整体使用率涨幅超过了 75%。

企业客户可以使用 Windows Server Update Services (WSUS) 或 Microsoft System Center 系列的管理产品为其托管的计算机提供更新服务。图 11 显示了相对于2006 年下半年的 WSUS 和 Windows Update/Microsoft Update 使用率的增长情况。

图 11. 2006 年下半年至 2010 年上半年 Microsoft WSUS 和最终用户更新服务的相对增长概况（2006 年下半年增长率为 100%）

?由于出现的报告错误在 2010 年上半年才得以解决，因此只评估了2008 年上半年至 2009 年下半年的 WSUS 使用情况。

?自 2006 年下半年以来，公共更新服务的使用率以及管理更新的 WSUS 服务器数量的增速要比 Windows 安装数量增速快，这表明用户正在选择对现有以及新安装的 Windows 进行更新。

指导：保持软件最新

安装 Microsoft 和其他软件供应商发布的最新安全更新，是各个组织和个人为防范通过漏洞利用造成的威胁而采取的最重要步骤之一。使用 Microsoft Update 服务将有助于确保及时提供所有 Microsoft 软件的安全更新。

有关详细指导说明，请参阅安全研究报告网站的“风险管理”部分中的“使用更新服务”。

14

安全违规的发展趋势

近几年，全球的很多司法管辖区都出台了各项法律，要求组织在无法控制被委托的个人可识别信息 (PII) 时应及时通知相关的个人用户。这些强制性通知措施以独特的方式剖析需要采取何种信息安全措施才能解决疏忽以及技术问题。

此部分信息是由来自新闻媒体和其他信息来源的全球数据安全违规报告提供的，志愿者已将这些信息记录在数据丢失数据库 (DataLossDB) 中，网址为https://www.doczj.com/doc/945803709.html,。（有关 DataLossDB 以及此处引用的安全违规类型的更多详情，请参阅安全研究报告网站的“参考指南”部分中的“安全违规发展趋势”。）

图 12. 安全违规事件（按事件类型）(1H08-1H10)

?正如近期表现的那样，2010 年上半年的报告事件总数有所下降。这一下降趋势可能与同一时期全球总体经济活动的减少有关。

?其中，占比最大的一类事件涉及的是设备被盗，为事件总数的 30.6%。?恶意事件（涉及“黑客”、恶意软件和欺诈）所占比例通常小于疏忽事件（涉及设备丢失、被盗或遗失，意外泄密或处置不当）的一半，如图 13所示。

?业务记录处置不当是与疏忽有关的违规事件的第二大来源，也是所有事件来源中的第三大来源。通过制定并执行针对包含敏感信息的书面材料和电子记录进行销毁的有效策略，组织可以相对轻松地解决处置不当的问题。

15

图 13. 因攻击和疏忽导致的违规事件 (1H08-1H10)

指导：防止安全违规事件并减轻事件严重性

组织可采取措施以减少安全违规事件的发生次数，并针对实际发生的事件降低违规的严重性和影响。有关详细指导说明，请参阅安全研究报告网站中“降低风险”部分的“防止安全违规事件并减轻事件严重性”。

16

恶意软件及可能有害软件的趋势

除单独指明的内容外，本部分的信息均从世界各地逾 6 亿台计算机

生成的遥测数据收集而来，生成过程采用了多种不同的 Microsoft 安全工具和服务，包括 MSRT、Microsoft Security Essentials、Windows Defender、Microsoft Forefront Client Security、Windows Live OneCare?以及 Windows Live OneCare 安全扫描程序。

感染率计算方法已更新

为提高安全研究报告中所示信息的详细程度和准确性，目前用于报告感染

率的 CCM（每千次清理计算机数）指标按季度进行计算。现在，某个指定

季度的 CCM 值表示该季度内每执行 MSRT 1,000 次，通过 MSRT 完成清

理的独立计算机的数量。因此，当前版本报告的 CCM 数值与之前各版本

中的对应数字会存在显著差异，不应将这两者进行直接比较。更多详情，

请参阅安全研究报告网站的“参考指南”部分中的“感染率”。

17

地理统计信息

由 Microsoft 安全产品生成的遥测数据包括计算机所处地区的相关信息，

此信息取决于“控制面板”中区域和语言选项中的位置选项卡或菜单的设置。利用这些数据，可以对全世界不同地区的感染率、感染模式和感染趋势进行比较。

图 14. 2010 年第 1 和第 2 季度由 Microsoft 桌面反恶意软件产品清理的计算机数量最多的地区

从绝对意义上讲，已清理计算机数量最多的地区往往是人口和计算机数量都很多的地区。（要控制此效应，请了解有关 CCM 指标的更多详情。）

图 15 采用一个称为每千次清理计算机数（即CCM）的指标显示了全世界不同地区的感染率，该指标表示每执行 MSRT 1,000 次时所报告的已清理计算机的数量。（有关 CCM 指标的更多详情，请参阅安全研究报告网站。）

图 15. 按国家/地区列出的 2010 年第 2 季度感染率（以 CCM 表示）

18

?2010 年第 2 季度 MSRT 执行次数超过 200,000 次的地区中，土耳其的感染率最高，每执行 MSRT 1,000 次就清理了 36.6 台计算机 (CCM 36.6)。排在土耳其之后的是西班牙 (35.7)、韩国 (34.4)、中国台湾地区 (33.5) 和巴西

(25.8)。若干时期以来，上述国家/地区始终是感染率最高的几个地区。

?感染率最低的地区包括白俄罗斯 (1.3)、孟加拉 (1.5)、斯里兰卡 (1.8)、突尼斯 (1.8) 和摩洛哥 (1.9)。

全球感染趋势

各个国家/地区的清理计算机数量在不同时期可能有很大差异。可能导致已

清理计算机数量增加的原因不仅包括该国家/地区的恶意软件出现率的升高，还包括 Microsoft 反恶意软件解决方案检测恶意软件的能力的提高。此外，

在某个地区安装大量新系统也有可能增加该地区的已清理计算机数量。

下面两个图显示了世界各地特定地区的感染率趋势（相对于 2010 年第 2 季

度 MSRT 执行次数不少于 100,000 的所有地区的感染率趋势）。（要获取此

信息的进一步详情，请参阅安全研究报告网站的“关键调查结果”部分中

的“全球感染趋势”。）

图 16. 2009年第 1 季度至 2010 年第 2 季度感染率最高的五个地区的趋势（每月 MSRT 执行次数不少于100,000，以 CCM 表示）

?2010 年第 2 季度 MSRT 执行次数超过 100,000 的地区中，土耳其、西班牙、韩国、中国台湾地区和巴西的感染率最高。

?从 2009 年第 1 季度到 2010 年第 2 季度，除韩国（由 32.7 升至 34.4）外，上述地区均有所改善。

19

图 16. 2009 年第 1 季度至 2010 年第 2 季度期间，改善幅度最大的五个地区的感染率趋势（每月 MSRT 执行次数不少于 100,000，以 CCM 表示）

?改善幅度最大的地区是指 2009 年第 1 季度至 2010 年第 2 季度期间，CCM 降度最大且前 3 个季度中至少有 2 个季度呈现下降的地区。

?从 2009 年第 1 季度到 2010 年第 2 季度，巴西、沙特阿拉伯、危地马拉、俄罗斯和约旦的 CCM 降幅均大于或等于 4.0。

?巴西的 CCM 降幅最大，从 2009 年第 1 季度的 43.9 降至 2010 年第 2 季度的 25.8。出现降幅的主要原因是感染Win32/Banker的计算机数量大幅下降，但检测到的相关系列Win32/Bancos和Win32/Banload数量仍保持相对较高的水平。沙特阿拉伯从 2009 年第 1 季度的 29.9 降至 2010 年第 2 季度的 16.8，主要原因是检测到的Win32/Taterf、Win32/Frethog、Win32/Alureon和Win32/RJump的数量下降。

?对于危地马拉和约旦，下降的最主要原因是检测到的 Taterf 数量显著减少。危地马拉的感染率从 21.1 降至 13.3，约旦的感染率从 14.2 降至 7.4。

?俄罗斯的感染率从 25.4 降至 7.4，主要原因是检测到的 Taterf、Alureon 和Win32/Cutwail数量下降。

类别趋势

MMPC 依据若干因素将各种威胁分为不同类型，这些因素包括威胁的传播方式及其设计目的。为简化这些信息的表示并使其易于理解，安全研究报告按功能和用途的相似性将这些类型分为 10 个类别。（有关此报告中所用类别的详细信息，请参阅安全研究报告网站的“参考指南”部分中的“类别趋势”。）

20