微软安全研究报告

第 10 卷

2010 年 7 月到 12 月

1

微软安全研究报告 本文仅供信息参考之用。MICROSOFT 对本文档中的信息不做任何明示、

暗示或法定的保证。

本文档将按“原样”提供。文档中所陈述的信息和观点，包括 URL 和

其他 Internet 网站参考，如有更改，恕不另行通知。使用本文档的风险

需要您自己承担。

版权所有 © 2011 Microsoft Corporation。保留所有权利。

本文提到的真实公司和产品的名称可能是其各自所有者的商标。

2

作者

Doug Cavit

Microsoft 可信任

计算部门

Joe Faulhaber

Microsoft 恶意软件

防护中心

Vinny Gullotto

Microsoft 恶意软件

防护中心

Jeff Jones

Microsoft 可信任

计算部门

Jimmy Kuo

Microsoft 恶意软件

防护中心

Michelle Meyer

Microsoft 可信任

计算部门

Daryl Pecelj

Microsoft IT 信息

安全及风险管理

Anthony Penta Microsoft Windows

安全平台

Tim Rains

Microsoft 可信任

计算部门

Javier Salido

Microsoft 可信任

计算部门

Christian Seifert Bing

Frank Simorjay

Microsoft 可信任

计算部门

Holly Stewart

Microsoft 恶意软件

防护中心

Matt Thomlinson

Microsoft 安全响应中心

Jossie Tirado Arroyo

Microsoft IT 信息安全

及风险管理

Scott Wu

Microsoft 恶意软件

防护中心

Jeff Williams

Microsoft 恶意软件

防护中心

Terry Zink Microsoft Forefront Online Protection for Exchange

参与者

Lawren Ahuna

Microsoft IT 信息安全

及风险管理

Eva Chow

Microsoft IT 信息安全

及风险管理

Enrique Gonzalez

Microsoft 恶意软件

防护中心

Cristin Goodwin

Microsoft 法律与公司事务

Satomi Hayakawa

CSS 日本安全响应团队

Yuhui Huang

Microsoft 恶意软件

防护中心

CSS 日本安全响应团队 Microsoft Japan

John Lambert

Microsoft 安全工程中心

Eric Leonard

Microsoft IT 信息安全

及风险管理

Laura Lemire

Microsoft 法律与

公司事务

Ken Malcolmson

Microsoft 可信任

计算部门

Charles McColgan Microsoft ISD

Don Nguyen

Microsoft IT 信息安全

及风险管理

Price Oden

Microsoft IT 信息安全

及风险管理

Kathy Phillips

Microsoft 法律与

公司事务

Hilda Larina Ragragio

Microsoft 恶意软件

防护中心

Tareq Saade

Microsoft 恶意软件

防护中心

Richard Saunders

Microsoft 可信任

计算部门

Marc Seinfeld

Microsoft 恶意软件

防护中心

Jasmine Sesso

Microsoft 恶意软件

防护中心

Norie Tamura (GOMI)

CSS 日本安全响应团队

Gilou Tenebro

Microsoft 恶意软件

防护中心

3

目录

可信任计算：Microsoft 的安全工程 ................................................................. 5

漏洞 ................................................................................................................... 6

漏洞披露 ....................................................................................................... 6

漏洞严重性 ................................................................................................... 8

漏洞复杂性 ................................................................................................... 9

操作系统、浏览器和应用程序漏洞 ........................................................... 11

漏洞利用 ......................................................................................................... 12

HTML 和 JScript/JavaScript 攻击.................................................................. 14

文档攻击 ..................................................................................................... 15

操作系统攻击.............................................................................................. 16

安全违规的发展趋势 .................................................................................. 18

恶意软件和可能不需要的软件 ....................................................................... 21

全球感染率 ................................................................................................. 21

操作系统感染率 .......................................................................................... 28

威胁类别 ..................................................................................................... 30

按地区划分的威胁类别 .......................................................................... 32

威胁系列 ..................................................................................................... 34

恶意安全软件.............................................................................................. 36

家庭与企业威胁 .......................................................................................... 40

4

电子邮件威胁 ................................................................................................. 45

阻止的垃圾邮件 .......................................................................................... 45

垃圾邮件类型.............................................................................................. 48

恶意网站 ......................................................................................................... 51

网络钓鱼站点.............................................................................................. 52

目标机构 ................................................................................................. 54

网络钓鱼站点的全球分布 ....................................................................... 56

恶意软件托管站 .......................................................................................... 57

恶意软件类别 .......................................................................................... 58

恶意软件托管站点的全球分布 ............................................................... 62

偷渡式下载站点 .......................................................................................... 63

附录 ................................................................................................................. 66

5

可信任计算：Microsoft 的安全工程

在计算威胁日趋复杂和犯罪攻击手段不断升级的今天，客户比以往更注重

保护自己的计算环境，以便自己及其客户能够放心使用网络。全世界有超

过十亿的系统在使用 Microsoft 的产品和服务，因此我们知道客户渴望拥有

更安全可靠的计算体验。

可信任计算 (TwC) 部门成立于 2002 年，体现了 Microsoft 在合理的商业行

为基础上构建和实现安全、专有及可靠的计算体验的决心。本报告中的信

息来自可信任计算部门的安全中心（这些安全中心负责提供深入的威胁情

报、威胁响应和安全科学）以及 Microsoft 各个产品小组提供的相关信息。

本报告旨在帮助我们的客户、合作伙伴及整个行业更清晰地了解所面临的

威胁环境，以便在保护自己和资产免受犯罪活动攻击时处于更有利的位置。

6

漏洞

漏洞 是软件存在的各种缺陷，攻击者会利用这些缺陷破坏该软件的完整性、

可用性或保密性。某些最严重的漏洞可让攻击者在受到威胁的系统上运行

任意代码（称为攻击）。有关漏洞的详细信息，请参阅安全研究报告 网站

的“参考指南”部分中的“行业范围漏洞披露”。

漏洞披露

SIR 中使用的披露一词是指将某个软件漏洞透露给广大民众。它不是指任何

形式的私人信息披露或针对有限数量人群的披露。披露可以来自各个方面，

包括软件供应商本身、安全软件供应商、独立的安全研究人员，甚至是恶

意软件的作者。

此部分的信息基于美国国家漏洞数据库 (http://nvd.nist.gov) 发布的漏洞

披露数据。该数据库是美国政府基于标准的漏洞管理数据库。

图 1 以图表的方式显示了自 2006 年以来披露的 Microsoft 产品和

非 Microsoft 产品的漏洞情况。

7

图 1. 2006 年到 2010 年披露的 Microsoft 产品和非 Microsoft 产品的漏洞情况

2010 年披露的漏洞数量相比 2009 年减少了 17.1%。

这延续了自 2006 年以来稳步下降的总体趋势。这一趋势很可能

归因于软件行业的开发实践和质量控制不断完善，其结果是软件

更加安全，漏洞日益减少。（有关安全开发实践的其他详情和

指导信息，请参阅安全研究报告 网站的“风险管理”部分中的

“软件安全保护”）。

2010 年披露的 Microsoft 产品漏洞数量略有上升，但在过去一段

时间里总体保持平稳状态。

Microsoft 产品的漏洞数量占 2010 年披露的所有漏洞数量的 7.2%。

相比 2009 年的 4.5%，该比例有所上升，主要原因是这一阶段披露

的整个行业漏洞数量出现整体下滑。

8

漏洞严重性

通用漏洞评分系统 (CVSS) 是一个与平台无关的、对 IT 漏洞进行评级的标

准评分系统。CVSS 根据漏洞的严重性为漏洞指定从 0 到 10 的分值，分值

越高表明漏洞越严重（更多详情，请参阅安全研究报告 网站的“参考指南”

部分中的“漏洞严重性”）。

图 2. 2006 年至 2010 年按严重性披露的行业范围漏洞情况

虽然披露的中级和高级严重性漏洞数量通常要远大于低级严重性

漏洞数量，但 2010 年的发展趋势还是比较乐观的，其中，中级

和高级漏洞数量分别比 2009 年下降了 17.5% 和 20.2%。

所披露的低级严重性漏洞数量从 2009 年的 190 个增至 2010 年的

277 个，增长了 45.8%。

首要任务是减少最严重漏洞的数量，这是确保安全的最有效方法。

分数在 9.9 或以上的高级严重性漏洞占 2010 年披露的所有漏洞数量

的 5.5%，如图 3 所示。这比 2009 年的 6.7% 有所下降。

9

图 3. 2010 年按严重性披露的行业范围漏洞情况

漏洞复杂性

有些漏洞要比其他漏洞更容易被攻击者利用，并且漏洞复杂性是确定漏洞

威胁程度所需考虑的重要因素。由于高级严重性漏洞不像低级严重性漏洞

那样容易受到更多攻击，只有在某些非常特殊的罕见情况下，才会受到攻

击，因此受到的关注度稍低。

CVSS 为每个漏洞提供了低、中或高三个级别的复杂性评级（有关 CVSS 复

杂性评级系统的更多详情，请参阅安全研究报告 网站的“参考指南”部分

中的“漏洞复杂性”）。图 4 显示了自 2006 年以来每年披露的各种漏洞的

复杂性。请注意，低复杂性漏洞表明风险更大，正如图 3 中的高严重性漏

洞表示的风险更大一样。

10

图 4. 2006 年至 2010 年按访问复杂性披露的行业范围漏洞情况

与漏洞严重性一样，此处的发展趋势也是比较乐观的，其中披露的

低级和中级复杂性漏洞数量分别比 2009 年下降了 28.3% 和 5.0%。

所披露的高复杂性漏洞数量从 2009 年的 120 个增至 2010 年的

172 个，增长了 43.3%。

11

操作系统、浏览器和应用程序漏洞

图 5 显示了自 2006 年以来操作系统、浏览器和应用程序的行业范围漏洞

情况。（有关如何区分操作系统、浏览器和应用程序漏洞的说明，请参阅

安全研究报告 网站的“参考指南”部分中的“操作系统和浏览器漏洞”）。

图 5. 2006 年至 2010 年披露的操作系统、浏览器和应用程序的行业范围漏洞情况

虽然 2010 年的应用程序漏洞总数比 2009 年下降了 22.2%，

但应用程序漏洞仍然在总漏洞数量中占很大比重。

操作系统和浏览器漏洞数量相比较而言保持在较稳定的状态，

每种类型的漏洞数只占总数的很小一部分。

12

漏洞利用

攻击 是一种恶意代码，在未经用户同意且通常在用户不知情的情况下，

利用软件的漏洞来感染计算机。攻击以计算机中安装的操作系统、Web

浏览器、应用程序或软件组件中的漏洞为目标。在某些情况下，目标组件

是计算机制造商在计算机销售之前预安装的加载项。用户甚至可能从未使

用过这个容易受到攻击的加载项，或者根本不知道安装了这个加载项。有

些软件不具备自我更新的功能，因此即使软件供应商发布了用于修复漏洞

的更新，用户可能都不知道该更新的存在，或者不知道如何获得这个更新，

因此仍然容易受到攻击。

常见漏洞和披露 (CVE) 列表 (http://cve.mitre.org) 中列举并记录了软件漏洞，

这是一个记录漏洞信息的标准存储库。在本报告中，攻击行为都标注出与

受影响的漏洞相对应的 CVE 标识符（如果适用）。此外，针对 Microsoft

软件中漏洞的攻击行为都标注出与该漏洞对应的 Microsoft 安全公告号码

（如果适用）。1

图 6 显示了 2010 年每个季度出现的不同类型的攻击行为。

1 请参阅 www.microsoft.com/technet/security/Current.aspx，搜索和查看 Microsoft 安全公告。

13

图 6. 2010 年 Microsoft 桌面反恶意软件产品检测到的攻击行为，按目标平台或技术分类

以 Java 编写的恶意软件已经存在很多年了，但攻击者直到最近才

开始重点关注攻击 Java 漏洞。在 2010 年的第 3 季度，Java 攻击

的数量是 2010 年第 2 季度所记录攻击数量的 14 倍，攻击主要是

利用 Sun（现在的 Oracle）JVM 中的两个漏洞 CVE-2008-5353 和

CVE-2009-3867。针对这两个漏洞的攻击行为占 2010 年下半年检

测到的 Java 攻击数量的 85%。

针对文档编辑器和阅读器（例如 Microsoft Word 和 Adobe Reader）

的攻击，在 2010 年第 2 季度有所减少，此后一直保持在一个较低

水平。

与其他类型的攻击相比，这几年操作系统攻击的数量相对较少，

但在 2010 年第 3 季度却有显著增加，主要归因于针对两个

Windows 漏洞的攻击。

14

HTML 和 JScript/JavaScript 攻击

图 7 显示了 2010 年每个季度出现的不同类型的 HTML 和 Jscript®/JavaScript

攻击。

图 7. 2010 年 Microsoft 桌面反恶意软件产品检测到的 HTML 和 JScript/JavaScript 攻击的类型

观察到的大多数攻击都涉及到恶意 HTML 内嵌帧 (IFrame)，这种

内嵌帧能够在用户的 Web 浏览器中秘密打开包含恶意代码的页面。

针对 Windows Internet Explorer® 漏洞的攻击数量占每个季度

与 HTML 相关的攻击数量的 19% 到 36%。其中大部分的攻击

都针对 CVE-2010-0806，这是一个会对 Windows 7 和 Windows

Server 2008 R2 之前的 Windows 版本上运行的 Internet Explorer 6

和 7 造成影响的漏洞。Microsoft 已经发布了安全公告 MS10-018

来解决这个漏洞。有关详细信息，请参阅 MMPC 博客

(http://blogs.technet.com/mmpc) 上的文章“活跃的攻击

CVE­2010­0806”（2010 年 3 月 30 日）。

15

文档攻击

图 8 显示了 2010 年各个季度出现的不同类型的文档格式攻击。2

图 8. 2010 年 Microsoft 桌面反恶意软件产品检测到的文档攻击的类型

在 2010 年，大部分的文档格式攻击都是影响 Adobe Acrobat 和

Adobe Reader 的攻击。几乎所有这些攻击都涉及到一般攻击系列

Win32/Pdfjsc。

在第 1 季度之后，Adobe Acrobat 和 Adobe Reader 攻击的数量减少了

一半以上，并在剩下的 3 个季度中一直保持在这个水平。

Microsoft Office 文件格式攻击的数量占 2010 年每个季度检测到的文

档格式攻击总数的 0.5% 到 2.8%。

2 Microsoft 还检测到极少量的攻击，会影响一种日语文字处理程序 JustSystems Ichitaro。

这些攻击每个季度影响的计算机数量不到 200 台，因此未显示在图中。

16

操作系统攻击

图 9 显示了 2010 年各个季度出现的不同操作系统攻击。

图 9. 2010 年 Microsoft 桌面反恶意软件产品检测到的操作系统攻击

2010 年检测到最多的几种操作系统攻击都是由蠕虫造成的，这些

蠕虫传播的方式会导致在其试图感染的每台计算机上都检测到大量

的攻击。因此，让我们再看看这些统计数字，图 9 显示了在检测到

的攻击总数以外，曾报告过受到其中几种攻击尝试的计算机数量。

操作系统攻击的数量在 2010 年之前的几年内一直处于下降趋势，

在 2010 年的前两个季度中，每个季度检测到的攻击数量都少于

200,000 次。但是在 2010 年的第 3 季度，随着针对影响 Windows

的两个漏洞（CVE-2010-1885 和 CVE-2010-2568）的两个零时差攻

击（利用未公开或刚刚公开的漏洞，在供应商发布相应的安全更新

之前进行攻击）的发现和发布，这一下降趋势有所改变。

17

CVE-2010-1885 是一个能够在 Windows XP 和 Windows Server 2003

中影响 Windows 帮助和支持中心的漏洞。有关该漏洞的详细信息在

2010 年 6 月 10 日（大约第 2 季度底的三个星期之前）发布，此后，

Microsoft 在 6 月 13 日发布了一份紧急安全公告 MS10-042 来解决这

个漏洞。

在 2010 年的第 2 季度，Microsoft 检测到少量针对 CVE-2010-1885

的攻击（全球不超过 14,000 例），但在第 3 季度，这种攻击的

数量猛增到 250,000 多例。截至年底，此类攻击的数量大幅减少，

在 2010 年第 4 季度只有不到 65,000 例。

有关详细信息，请参阅 MMPC 博客 (http://blogs.technet.com/mmpc)

上的文章“针对 Windows 帮助和支持中心漏洞 (CVE-2010-1885) 的

攻击”（2010 年 6 月 30 日）。

漏洞 CVE-2010-2568 涉及 Windows Shell 处理快捷方式文件的

方式。这个漏洞最早在 2010 年 7 月中旬在分析 Win32/Stuxnet

蠕虫时发现，这种蠕虫通过该漏洞进行传播。Microsoft 于 8 月 2 日

发布了紧急安全公告 MS10-046 来解决这个漏洞。一开始，只发

现 Stuxnet 系列大量利用 CVE-2010-2568 进行攻击，但随后针对

攻击的检测和清除工作又有所增加，原因是其他恶意软件系列

（包括 Win32/Vobfus 和 Win32/Sality）的作者开始发布针对该

漏洞的新攻击变种。有关详细信息，请参阅 MMPC 博客

(http://blogs.technet.com/mmpc) 上的文章“Stuxnet、恶意 .LNK、...

然后是 Sality”（2010 年 7 月 30 日）。

CVE-2010-2568 攻击在 2010 年第 3 季度影响的计算机数量与

CVE-2010-1885 攻击一样多，但每台被感染的计算机检测出的

攻击数却高得多（每台被感染的计算机检测到 12.9 次攻击，

而 CVE-2010-1885 却只有 1.5 次）。Stuxnet 蠕虫使用 USB 存

储设备作为主要的传播媒介，而快捷方式漏洞的特性导致一些

计算机在 Windows Shell 重复尝试处理同一个恶意快捷方式文件

时记录大量的攻击。

18

漏洞 CVE-2006-3439 能够在 Windows 2000、Windows XP Service

Pack 3 之前的版本和 Windows Server 2003 Service Pack 2 之前的版

本中影响服务器服务。Microsoft 在 2006 年 8 月发布了安全公告

MS06-040 来解决这个漏洞。

在这种情况下，尽管 Microsoft 检测到了大量针对 CVE-2006-3439

的感染尝试，但实际被感染的计算机数量非常少（全世界每个季度

不到 3,000 台，这些数据未在图 9 中显示）。针对网络服务（例如

服务器服务）的攻击能够产生大量可让实时反恶意软件产品检测到

的攻击：遍历网络的蠕虫可以进行重复的攻击，试图感染单个计算

机，而每一次不成功的尝试都会被记录为一次单独的攻击。

通常，针对像 CVE-2006-3439 这样的早期操作系统漏洞的成功攻击

应当很少，因为最初曾经受到影响的大部分 Windows 系统都已使用

适当的安全更新或 Service Pack 进行了更新，或者已替换为更高版

本的 Windows，因而不再受该漏洞的影响。在 2010 年，检测到的

CVE-2006-3439 攻击与罕见的特洛伊木马系列 Win32/ServStart 的检

测有很大关系，表明两者之间可能存在着联系。

安全违规的发展趋势

近几年，全球的很多司法管辖区都出台了各项法律，要求组织在无法控制

被委托的个人可识别信息 (PII) 时应及时通知相关的个人用户。这些强制性

通知措施以独特的方式剖析需要采取何种信息安全措施才能解决疏忽以及

技术问题。

此部分信息是由来自新闻媒体和其他信息来源的全球数据安全违规报告提

供的，志愿者已将这些信息记录在数据丢失数据库 (DataLossDB) 中，网址

为 http://datalossdb.org。（有关 DataLossDB 以及此处引用的安全违规类型

的更多详情，请参阅安全研究报告 网站的“参考指南”部分中的“安全违

规发展趋势”。）

19

图 10. 2009 年第 3 季度至 2010 年第 4 季度的安全违规事件（按事件类型）

在过去的 6 个季度当中，每个季度中占总事件比例最大的一类事

件是设备被盗，从 2009 年第 3 季度高达 34.5% 的比例降至 2010 年

第 4 季度的 18.6%，皆是如此。

恶意事件（涉及“黑客”、恶意软件和欺诈）所占比例通常小于

疏忽事件（涉及设备丢失、被盗或遗失，意外泄密或处置不当）

的一半，如图 11 所示。

业务记录处置不当在事件总数中占据了相当大的一部分，而通过制

定并执行针对包含敏感信息的书面材料和电子记录进行销毁的有效

策略，组织可以相对轻松地解决这类问题。

20

图 11. 2009 年第 3 季度至 2010 年第 4 季度因攻击和疏忽导致的违规事件

21

恶意软件和可能不需要的软件

除非另外说明，本部分的信息都是从世界各地逾 6 亿台计算机生成的遥测

数据和一些最繁忙的在线服务收集而来。

全球感染率

由 Microsoft® 安全产品从选择参加数据收集的用户处生成的遥测数据包括

计算机所处地区的相关信息，此信息取决于“控制面板”中区域和语言选

项中的位置选项卡或菜单的设置。利用这些数据，可以对全世界不同地区

的感染率、感染模式和感染趋势进行比较。

图 12. 2010 年由 Microsoft 桌面反恶意软件产品报告检测并清除攻击的计算机数量最多的地区

国

家/

地

区

2010 年

第 1 季度

2010 年

第 2 季度

2010 年

第 3 季度

2010 年

第 4 季度

第 3 季

度到

第 4 季

度的变化

2010

年的

变化

1 美

国 11,025,811 9,609,215 11,340,751 11,817,437 4.2% ▲

7.2%

▲

2 巴

西 2,026,578 2,354,709 2,985,999 2,922,695

-2.1%

▼

44.2%

▲

3 中

国 2,168,810 1,943,154 2,059,052 1,882,460

-8.6%

▼

-13.2%

▼

5 英

国 1,490,594 1,285,570 1,563,102 1,857,905

18.9%

▲

24.6%

▲

4 法

国 1,943,841 1,510,857 1,601,786 1,794,953

12.1%

▲

-7.7%

▼

7 韩

国 962,624 1,015,173 1,070,163 1,678,368

56.8%

▲

74.4%

▲

6

西

班

牙

1,358,584 1,348,683 1,588,712 1,526,491 -3.9%

▼

12.4%

▲

22

国

家/

地

区

2010 年

第 1 季度

2010 年

第 2 季度

2010 年

第 3 季度

2010 年

第 4 季度

第 3 季

度到

第 4 季

度的变化

2010

年的

变化

9

俄

罗

斯

700,685 783,210 928,066 1,311,665 41.3%

▲

87.2%

▲

8 德

国 949,625 925,332 1,177,414 1,302,406

10.6%

▲

37.1%

▲

10

意

大

利

836,593 794,099 900,964 998,458 10.8%

▲

19.3%

▲

23

从 2010 年第 3 季度到 2010 年第 4 季度，在韩国检测到的以下

三个系列的攻击数量上升了 56.8%：Win32/Onescan、Win32/Parite

和 Win32/Nbar，导致第 3 季度到第 4 季度的总增长量为 77%。

Onescan 是一个韩语恶意安全软件系列，2010 年第 4 季度首次检

测到，在韩国检测到的所有攻击数量中占 32%。（有关详细信息，

请参阅第 36 页上的“恶意安全软件”。）

图 13. 由 Win32/Onescan 导致的恶意软件检测误报，Win32/Onescan 是一个韩语恶意安全软件系列

从第 3 季度到第 4 季度，在俄罗斯检测到的攻击数量上升了

41.3%，从第 1 季度到第 4 季度则上升了 87.2%，主要是因为

运行 Microsoft Security Essentials 的计算机数量大幅增加。

24

从绝对意义上讲，报告检测到攻击的计算机数量最多的地区往往是人口

和计算机数量都很多的地区。为控制此效应，图 14 采用一个称为每千次

清理计算机数（即 CCM）的指标显示了全世界不同地区的感染率。该指

标表示一个季度内每执行 Microsoft Windows® 恶意软件删除工具 (MSRT)

1,000 次时所报告的已清理计算机的数量。3（有关 CCM 指标的更多详情，

请参阅 Microsoft 安全研究报告 网站。）

图 14. 按国家/地区列出的 2010 年上半年感染率（上）和 2010 年下半年感染率（下）（以 CCM 表示）

3 对于 图 14 中的示意图，CCM 总数分别是 2010 年前两个季度和后两个季度的平均值，

以便得出 2010 年上半年和 2010 年下半年的 CCM 总数。

25

在 2010 年第 4 季度 MSRT 执行次数不少于 100,000 次的地区中，

韩国的感染率最高，每执行 MSRT 1,000 次就清理了 40.3 台计算机

(CCM 40.3)。排在韩国之后的是西班牙 (33.2)、土耳其 (32.8)、

中国台湾地区 (24.3) 和巴西 (20.8)。

2010 年全年，土耳其的平均每季度 CCM 值最高，为 36.8，其后

依次是西班牙 (36.1)、韩国 (34.8)、中国台湾地区 (29.7) 和巴西

(24.7)。在过去六个季度中的大部分时间中，这五个地区的感染率

在大型国家和地区中始终排在最前面，如第 26 页上的图 15 所示。

感染率较低的地区包括蒙古（2010 年的平均 CCM 为 1.3）、

孟加拉国 (1.4) 和白俄罗斯 (1.6)。感染率较低的大型国家和地区

包括菲律宾 (3.1)、奥地利 (3.4)、印度 (3.8) 和日本 (4.4)。

各个国家/地区的检测和清理数量在不同时期可能有很大差异。导致检测

到攻击的计算机数量增加的原因不仅包括该国家/地区的恶意软件普及率的

提高，还包括 Microsoft 反恶意软件解决方案检测恶意软件的能力的提高。

此外，某个地区安装大量新的反恶意软件通常也会增加该地区的已清理计

算机数量。

下面两个图显示了世界各地特定地区的感染率趋势，相对于 2010 年每个

季度 MSRT 执行次数不少于 100,000 的所有地区的感染率趋势。（要获取

此信息的进一步详情，请参阅安全研究报告 网站的“关键调查结果”部分

中的“全球感染趋势”。）

26

图 15. 2010 年第 4 季度感染率最高的五个地区的趋势（2010 年每季度 MSRT 执行次数不少于 100,000；

以 CCM 表示）

韩国在最近的几个季度中受到了持续攻击，从 2010 年第 3 季度的

第 4 位一跃而升为 2010 年第 4 季度的第 1 位。韩国的 CCM 值在

2009 年第 4 季度为 23.6，一年后增至 40.3，增幅高达 16.7 点

(71.1%)，是过去一年中增幅最高的地区。（有关韩国所面临的威

胁状况的详细信息，请参阅安全研究报告 网站的“全球威胁评估”

部分。）

韩国、西班牙、土耳其、中国台湾地区和巴西在过去六个季度中

一直占据大型国家和地区感染率前五名（唯一的例外是 2009 年

第 4 季度，葡萄牙超过韩国位列第 5）。

27

图 16. 2009 年第 4 季度至 2010 年第 4 季度期间，改善幅度最大的五个地区的感染率趋势

（2010 年第 4 季度 MSRT 执行次数不少于 100,000；以 CCM 表示）

改善幅度最大的地区是指 2009 年第 4 季度至 2010 年第 4 季度期间，

CCM 降幅最大的地区。

巴西虽然仍位列感染率最高的地区之一，但在过去六个季度中有了

大幅改善，CCM 从 2009 年第 3 季度的 30.1 降至 2010 年第 4 季度

的 20.8。其中，Win32/Frethog 和 Win32/Hamweq 攻击数量的减少

是主要原因，之后 Win32/Conficker 和 Win32/Rimecud 攻击的数量

也有所减少。（有关上述和其他恶意软件系列的详细信息，请参阅

第 34 页的“威胁系列”。）

尽管俄罗斯在 2010 年检测和清除的攻击总数有所增加，但正

如第 23 页所述，实际的感染率还是显著降低，CCM 从 2009 年

第 3 季度的 17.3 降至 2010 年第 4 季度的 10.1。这主要得益于

Conficker、Hamweq 和 Win32/Taterf 攻击数量的减少。

葡萄牙和巴林在过去六个季度内的感染率处于波动状态，但是与

2009 年第 3 季度相比，截至 2010 年第 4 季度，这两个地区还是

表现出了很大的改善。葡萄牙的 CCM 从 25.0 降至 15.6，降幅达

37.6%。巴林的 CCM 从 13.6 降至 9.0，降幅达 33.8%。

28

中国的 CCM 从 2009 年第 3 季度的 9.5 降至 2010 年第 4 季度

的 2.9。尽管就 CCM 指标来说，中国是世界上感染率最低的地区

之一，但在评估当地的计算机安全状态时，还是存在一些独特的

因素，需要将其他信息考虑在内。在中国的恶意软件生态系统中，

有几个中文威胁占据主要位置，而这些威胁在其他地区并不存在。

CCM 值是根据 MSRT 的遥测数据计算的，针对的是全球的恶意

软件系列。对于在中国排在前几位的系列，MSRT 很多并不检测。

例如，在 2010 年，中国运行 Microsoft Security Essentials 的计算

机所报告的威胁中，有 92% 到 94% 的威胁都未被 MSRT 检测。

要深入了解中国所面临的威胁状况，请参阅安全研究报告 网站的

“全球威胁评估”部分。

操作系统感染率

Windows 操作系统不同版本提供的功能和更新以及人员和组织

对各个版本使用方式的差异，都会影响不同版本和 Service Pack

的感染率。图 17 显示在 2010 年 MSRT 执行总次数中至少占 0.1%

的各种 Windows 操作系统/Service Pack 组合的感染率。

图 17. 2010 年各个操作系统和 Service Pack 的平均每季度感染率 (CCM)

29

“32”= 32 位；“64”= 64 位。在显示的执行总次数中至少占 0.1% 的系统。

与前期表现相同，最新发布的操作系统和 Service Pack 的感染率一

直都低于较早版本，在客户端和服务器平台都是如此。表中显示感

染率最低的是 Windows 7 和 Windows Server® 2008 R2，具体分别

是最近发行的 Windows 客户端和服务器版本。

64 位版本的 Windows Vista® 和 Windows 7 的感染率低于 32 位版本

的相应操作系统。其中一个原因可能是：尽管 64 位 Windows 版本

在一般计算用户群中的销售量不断增加，但 Windows 的 64 位版本

对用户技术水平的要求仍然高于与之对应的 32 位版本。内核补丁

保护 (KPP) 是 64 位版本的 Windows 的一项功能，用于保护内核免

受未经授权的修改，因此能够防止某些类型的恶意程序运行，这也

是造成感染率较低的原因之一。

图 18. 32 位版本的 Windows XP、Windows Vista 和 Windows 7 的 CCM 趋势

（2009 年第 3 季度至 2010 年第 4 季度）

如图 18 所示，过去 6 个季度中，在所有 32 位的客户端操作

系统/Service Pack 组合中，Windows 7 的感染率一直保持最低。

30

威胁类别

Microsoft 恶意软件防护中心 (MMPC) 依据若干因素将各种威胁分为不同

类型，这些因素包括威胁的传播方式及其设计目的。为了更简单、易懂

地说明这些信息，安全研究报告 按功能和用途的相似性将这些类型分为

10 个类别。（有关本报告中所用类别的详细信息，请参阅安全研究报告

网站的“参考指南”部分中的“威胁类型”。）

图 19. 按威胁类别显示的 2010 年每个季度检测到的攻击数（以占所有报告检测到攻击的计算机的百分比表示）

各个时间段的合计可能超过 100%，因为在各个时间段对某些计算

机检测并清除的威胁类别不止一种。

“其他特洛伊木马病毒”包括所有未归类为“特洛伊木马下载程序

和植入程序”的特洛伊木马病毒，是 2010 年各个季度最常见的威

胁类别，在所有被感染的计算机上检测到的比例从 2010 年第 1 季

度的 22.7% 下降到 2010 年第 4 季度的 20.0%。

31

检测到广告软件的数量在下半年大幅增加，被感染计算机的比例从

2010 年第 2 季度的 8.9% 上升到 2010 年第 4 季度的 15.1%。这几

乎完全是由于第 3 季度出现了两种新的广告软件系列（JS/Pornpop

和 Win32/ClickPotato）而导致的。（有关上述和其他广告软件系列

的详细信息，请参阅第 34 页的“威胁系列”。）

在 2010 年第 1 季度到 2010 年第 2 季度经历了增长之后，蠕虫的

数量在年底大幅减少，被感染的计算机的比例从第 2 季度的 19.2%

下降到 2010 年第 4 季度的 13.5%。从 2010 年第 1 季度到 2010 年

第 4 季度，针对蠕虫系列 Win32/Hamweq 的检测和清除比例降低了

61.3%，因此在其他威胁类别增长的背景下，这是上述感染率降低

的部分原因之一。（Hamweq 于 2009 年 12 月添加到 MSRT 中，截

至 2010 年第 1 季度，有超过 100 万台计算机上的工具检测到此威

胁。截至年底，检测到 Hamweq 的数量大幅减少，MSRT 在 2010 年

第 4 季度从 300,000 台计算机上清除了此蠕虫。）

“其他可能不需要的软件”和“特洛伊木马下载程序和植入程序”

在年初的出现率相似，随后有所变化。被“其他可能不需要的软件”

感染的计算机比例从 16.1% 上升到 18.1%，主要原因是检测到的可

能不需要的软件系列 Win32/Zwangi 和 Win32/Keygen 有所增加（对

于后者，检测到攻击数量增加主要是由于检测效果的改善，而不是

出现数量的增加）。“特洛伊木马下载程序和植入程序”的比率从

14.7% 降至 11.6%，部分原因是因为检测到的 Win32/Renos（一种

很常见的系列）数量减少。

在被感染的计算机中，检测到的其他每种类别的攻击比例都不足

10%。被“密码窃取程序和监视工具”感染的计算机比例在 2010 年

第 4 季度降至 6.6%，在检测到 Win32/Frethog（主要攻击目标是在

线游戏的密码）之后又有所上升。作为出现率始终不高的类别，被

“间谍软件”感染的计算机比例在 2010 年的降幅更高，在第 4 季

度只有 0.2%。

32

按地区划分的威胁类别

对全世界不同地区的用户产生影响的威胁类型存在很大差异。除了散播

方法外，恶意软件的传播范围和有效性在很大程度上还取决于语言和文化

因素。某些威胁采用的传播技术针对的是使用某种特定语言的人群，或是

使用特定地理区域的本地服务的人群。其他威胁则以漏洞或操作系统配置

及应用程序为目标，而这些目标在全球的分布并不均匀。图 20 显示了

2010 年世界各地的几个地区中，不同类别的恶意软件和可能不需要软件的

相对出现率。

图 20. 2010 年世界各地及九个不同地区的各种威胁类别的出现情况

类别 全世界 美国 巴西 中国 英国 法国 西班牙 俄罗斯 德国 韩国

其他特洛伊

木马病毒

31.60

%

43.4

0%

23.

20%

28.

00%

36.

50%

21.

60%

20.10

%

40.30

%

28.

40%

17.

30%

其他可能

不需要的软件

25.50

%

22.6

0%

31.

20%

52.

10%

23.

60%

24.

30%

22.60

%

33.80

%

24.

50%

10.

30%

蠕虫 24.40

%

16.6

0%

35.

60%

13.

50%

11.

80%

21.

00%

40.20

%

32.80

%

14.

40%

40.

10%

特洛伊木马

下载程序和

植入程序

20.10

%

20.2

0%

26.

20%

18.

80%

20.

30%

19.

70%

16.90

%

17.00

%

28.

90%

8.0

0%

广告软件 17.40

%

21.4

0%

9.4

0%

3.4

0%

29.

30%

33.

00%

10.70

% 8.20%

16.

30%

12.

10%

密码窃取程序

和监视工具

11.70

%

6.10

%

27.

90%

10.

70%

7.5

0%

9.2

0%

20.50

%

10.30

%

9.3

0%

14.

70%

漏洞利用 7.10% 9.60

%

10.

50%

13.

50%

7.3

0%

2.7

0% 3.00% 8.00%

5.7

0%

3.3

0%

后门 6.60% 5.30

%

5.7

0%

10.

30%

4.2

0%

4.4

0% 8.40% 8.20%

5.1

0%

7.1

0%

病毒 5.90% 5.10

%

10.

30%

6.1

0%

3.4

0%

3.3

0% 3.70%

12.10

%

3.2

0%

13.

80%

间谍软件 0.60% 0.70

%

0.2

0%

2.3

0%

0.4

0%

0.3

0% 0.20% 0.50%

0.7

0%

0.5

0%

33

在图 20 的每行中，深色表示该类别在指定地区出现的数量比在其

他地区多，浅色表示出现的数量少。

美国和英国这两个主要的英语地区在其他文化领域也有许多相似性，

在大多数类别的威胁组成方面也很类似。但也有一些例外，例如广

告软件在英国很常见，而蠕虫则在美国更常见。

在巴西，“密码窃取程序和监视工具”的比例异常高，原因主要在

于以巴西银行客户为目标的 Win32/Bancos 的出现率较高。

在中国，其他可能不需要的软件、漏洞利用、后门和间谍软件所占

比例相对较高，而蠕虫和广告软件所占比例则相对较低。中国惯常

所呈现的威胁组成方式与其他大型国家和地区有很大的不同。在中

国最常见的两种威胁是 Win32/BaiduSobar 和 Win32/Sogou，它们是

中文的可能不需要软件系列，在其他地区并不常见。在中国最常见

的威胁系列还包括两种漏洞利用：JS/CVE-2010-0806 和 JS/ShellCode，

这在其他地区也很少见。

在法国，威胁类别主要是以 Win32/ClickPotato 为首的广告软件。

在西班牙，蠕虫和后门威胁异常普遍。2010 年在西班牙检测到的

威胁系列中的前六位都属于蠕虫。

俄罗斯的威胁组成方式与整个世界的威胁组成方式类似，除了广告

软件所占比例异常低，这可能是由于在线广告高度依赖语言的特点

所导致。

在德国，以 Win32/Renos 为首的特洛伊木马下载程序和植入程序的

出现率几乎是世界上其他地区的两倍。

在韩国，以 Win32/Parite 为首的病毒和蠕虫出现率非常高。病毒和

蠕虫在韩国长期以来都异常普遍，可能是因为公共 Internet 游戏中

心的普及，使病毒得以轻松在计算机和可移动介质之间传播。

34

威胁系列

图 21 列出了 2010 年下半年 Microsoft 桌面安全产品在计算机中检测到的前

十类恶意软件和可能不需要的软件系列。

图 21. 2010 年下半年，Microsoft 反恶意软件桌面产品检测到的前十位恶意软件和可能不需要的软件系列的季度发

展趋势

系列

最重

要的

类别

2010 年第

1 季度

2010 年

第 2 季度

2010 年

第 3 季度

2010 年

第 4 季度

1 JS/Pornpop

广告

软件 — — 2,660,061 3,860,365

2 Win32/Autorun 蠕虫 1,256,649 1,646,532 2,805,585 3,314,092

3 Win32/Taterf 蠕虫 1,496,780 2,323,750 2,338,517 1,615,649

4 Win32/Zwangi

其他

可能

不需

要的

软件

542,534 860,747 1,638,398 2,299,210

5 Win32/Renos

特洛

伊木

马下

载程

序和

植入

程序

2,693,093 1,889,680 2,109,631 1,655,865

6 Win32/Rimecud 蠕虫 1,809,231 1,749,708 1,674,975 1,892,919

7 Win32/Conficker 蠕虫 1,498,256 1,664,941 1,649,934 1,744,986

8 Win32/FakeSpypro

其他

特洛

伊木

马病

毒

1,244,903 1,424,152 1,897,420 889,277

9 Win32/Hotbar

广告

软件 1,015,659 1,483,289 942,281 1,640,238

10 Win32/ClickPotato

广告

软件 — — 451,660 2,110,117

35

图 22. 2010 年出现率增幅最大的系列。

JS/Pornpop 是 2010 年第 4 季度最常检测到的系列，检测的是试图在

用户 Web 浏览器中显示隐藏式弹出广告（通常包含成人内容）的特

制的启用了 JavaScript 的对象。

Pornpop 是近几年内出现的传播速度最快的恶意软件系列之一。在

2010 年 8 月首次检测到后，该恶意软件系列在 2010 年的第 3 季度

迅速发展成为出现率第二高的系列，并在 2010 年的第 4 季度及整

个下半年位列榜首。

Win32/Autorun 是一种一般的蠕虫，利用 Windows 的自动运行功

能在已安装卷之间传播。针对该蠕虫的检测和清除数量在 2010 年

第 4 季度大幅增加，尽管由于 Pornpop 的传播，Autorun 已降至

第 2 位。

Win32/Taterf 是 2010 年第 1 季度最常见的威胁，其出现率在

2010 年第 4 季度跌至第 3 位。Taterf 的威胁主要在于盗取流行的

联机计算机游戏的密码并将其传输给攻击者。有关这些威胁的详细

信息，请参阅 微软安全研究报告，第 5 卷（2008 年 1 月至 6 月）

的第 62 页上的“联机游戏的相关系列”。

36

Win32/Renos 是 2010 年第 1 季度最常见的威胁，其出现率在

2010 年第 4 季度跌至第 5 位。Renos 是特洛伊木马下载程序系列，

经常用于安装恶意安全软件。自 2006 年以来，它一直是 Microsoft

反恶意软件桌面产品和服务最常检测到并清除的威胁之一。

可能不需要的软件系列 Win32/Zwangi 从 2010 年第 2 季度的

第 10 位升至 2010 年第 4 季度的第 4 位。Zwangi 是一种以服务

形式在后台运行并修改 Web 浏览器设置以访问特定网站的程序。

广告软件系列 Win32/ClickPotato 在 2010 年 8 月首次检测到后，

在 2010 年第 4 季度迅速成为出现率位居第 10 的系列。ClickPotato

是一种能够根据用户的浏览习惯显示弹出和通知式广告的程序。

恶意安全软件

恶意安全软件 已成为攻击者从受害者身上骗取钱财的最常用方法之一。

恶意安全软件（也称为欺骗软件）是这样一种软件：它们看上去会带来一

些好处（从安全的角度而言），但实际上根本不提供或仅提供有限安全保

证，会生成错误性或误导性警报，或者会试图诱骗用户参与欺骗性事务。

这些程序通常会模仿合法安全软件的外观，并声称检测到了大量并不存在

的威胁，同时敦促用户购买“完整版本”的软件来消除这些威胁。攻击者

通常利用攻击或其他恶意软件来安装恶意安全软件程序，或使用社会工程

来哄骗用户相信这些程序是合法而且有用的。有些版本努力模仿 Windows

安全中心的外观，或者非法使用商标和图标来伪装自己。（有关这种威胁

的详细信息，请参阅安全研究报告 网站的“参考指南”部分中的“恶意安

全软件”；有关以普通受众为目标的恶意安全软件的视频信息系列，请访

问 www.microsoft.com/security/antivirus/rogue.aspx。）

37

图 23. 恶意安全软件系列 Win32/FakeXPA 的各种版本所使用的一些“品牌”

图 24 显示了 2010 年检测到的最常见恶意安全软件系列的检测趋势。

图 24. 2010 年最常检测到的恶意安全软件系列的趋势（按季度显示）

Win32/FakeSpypro 是 2010 年各个季度最常检测到的恶意安全软件

系列，其检测和清除的总次数是出现率排在第二位的系列的两倍以

上。FakeSpypro 的分发名称包括 AntispywareSoft、Spyware Protect

2009 和 Antivirus System PRO。2009 年 7 月，MSRT 中添加了

FakeSpypro 检测功能。

38

Win32/FakeXPA 是 2010 年第二个最常检测到的恶意安全软件系

列，在 2010 年第 1 季度时出现率与 FakeSpypro 接近，在 2010 年

第 4 季度时跌至第 6 位。FakeXPA 是经常更新的永久性威胁，它使

用各种技术来躲避合法安全产品对它的检测和清除。它在分发时会

利用很多名称，图 23 中显示了一些。2008 年 12 月，MSRT 中添加

了 FakeXPA 检测功能。

Win32/FakePAV 在 2010 年第 3 季度首次检测到，在第 4 季度迅速

成为排名第二的最常检测到的恶意安全软件系列。FakePAV 是几种

会伪装成 Microsoft Security Essentials 的恶意安全软件系列中的一员。

它会显示一个外观类似 Security Essentials 警报的对话框，列出一个

或多个并不存在的感染，并声称其无法清除这些感染。然后会让用

户“安装”一个其他安全程序的试用版（实际上是 FakePAV 本身的

另一部分），后续步骤则与其他恶意安全软件程序的过程类似。

39

图 25. 真正的 Microsoft Security Essentials 警报（上）和由 Win32/FakePAV 生成的

虚假警报（下）。

FakePAV 分发时所使用的名称包括 Red Cross Antivirus、Peak

Protection 2010、AntiSpy Safeguard、Major Defense Kit、Pest Detector、

ThinkPoint、Privacy Guard 2010、Palladium Pro 等等。2010 年 11 月，

MSRT 中添加了对 FakePAV 的检测功能。有关其他信息，请参阅

MMPC 博客 (http://blogs.technet.com/mmpc) 上的文章“MSRT 处理

虚假 Microsoft Security Essentials”（2010 年 11 月 9 日）。

40

家庭与企业威胁

家庭用户与企业用户的使用模式存在很大差异。企业用户的计算机通常连

接到网络并用于执行业务功能，用户可能在使用 Internet 和电子邮件方面有

限制。家庭用户则更有可能通过家庭路由器或直接连接到 Internet，使用计

算机进行娱乐活动，例如玩游戏、看视频以及与朋友沟通等等。使用模式

的不同意味着家庭用户比企业用户更容易面对各种不同的计算机威胁。

由 Microsoft 桌面反恶意软件产品和工具生成的感染遥测数据包括有关被

感染计算机是否属于 Active Directory® 域的信息。域几乎只用在企业环境中，

因此不属于任何域的计算机很可能用在家庭或其他非企业环境中。将在域

中和不在于域中的计算机所受到的威胁进行比较，能够深入了解攻击者针

对企业用户和家庭用户所采取的不同攻击方式，以及在这两种环境中哪些

威胁更容易得逞。

图 26 和图 27 中列出了 2010 年第 4 季度在加入域的计算机和未加入域的

计算机上检测到的前 10 大恶意软件系列。

41

图 26. 2010 年在加入域的计算机上检测到的前 10 大恶意软件系列（按各系列感染的计算机占所有加入域的被感染计

算机的百分比表示）

系列 最重要的类别

2010 年

第 1 季

度

2010 年

第 2 季

度

2010 年

第 3 季

度

2010 年

第 4 季

度

1 Win32/Confi

cker

蠕虫 21.3% 22.0% 19.6% 18.9%

2 Win32/Autor

un

蠕虫 7.3% 8.3% 10.0% 10.0%

3 Win32/Rimec

ud

蠕虫 9.0% 9.8% 8.0% 8.3%

4 Win32/Tater

f

蠕虫 4.1% 6.9% 5.9% 4.1%

5 Win32/RealV

NC

其他可能不需要的软件 5.6% 5.4% 4.9% 4.3%

6 Win32/Hamwe

q

蠕虫 7.0% 5.3% 3.2% 2.4%

7 Win32/Freth

og

密码窃取程序和监视

工具 6.5% 6.0% 2.8% 2.4%

8 Win32/Renos

特洛伊木马下载程序

和植入程序 5.2% 3.4% 4.0% 2.8%

9 Win32/Alure

on

其他特洛伊木马病毒 2.7% 2.4% 2.8% 1.8%

1

0

Win32/FakeS

pypro

其他特洛伊木马病毒 2.3% 3.0% 2.8% 0.9%

42

图 27. 2010 年在未加入域的计算机上检测到的前 10 大恶意软件系列

（按各系列感染的计算机占所有未加入域的被感染计算机的百分比表示）

系列 类别 第 1 季

度

第 2 季

度

第 3 季

度

第 4 季

度

1 Win32/Autor

un

蠕虫 3.8% 5.4% 7.8% 8.7%

2 Win32/Renos

特洛伊木马下载程序和

植入程序 8.8% 6.6% 6.1% 4.6%

3 Win32/Tater

f

蠕虫 4.8% 8.0% 6.7% 4.4%

4 Win32/Rimec

ud

蠕虫 5.6% 5.7% 4.6% 5.0%

5 JS/Pornpop 广告软件 0.0% 0.0% 7.8% 10.4%

6 Win32/Freth

og

密码窃取程序和监视工具 6.4% 6.9% 3.6% 3.4%

7 Win32/FakeS

pypro

其他特洛伊木马病毒 4.1% 4.9% 5.6% 2.5%

8 Win32/Zwang

i

其他可能不需要的软件 1.8% 3.1% 4.9% 6.4%

9 Win32/Confi

cker

蠕虫 3.8% 4.7% 3.9% 3.8%

1

0

Win32/Hotba

r

广告软件 3.4% 5.3% 2.8% 4.6%

43

44

有七个系列同时出现在这两个列表中，尽管它们在两个列表中的顺

序和所占比例并不相同。蠕虫系列 Win32/Conficker 利用的几种传

播方法使其在典型的企业网络环境中比在公共 Internet 中更容易传

播，因此在加入域的列表中占有重大比例，而在未加入域的列表中

仅位列第 9。

在加入域的计算机中检测到的前 10 大恶意软件系列中，蠕虫系

列占据 5 席。其中几种蠕虫，包括 Conficker、Win32/Autorun

和 Win32/Taterf 都是通过网络共享进行传播的，因此在域环境中

很常见。

对于未加入域的计算机，JS/Pornpop 是 2010 年第 4 季度最常

检测到的系列，在 2010 年全年最常检测到的系列中位列第 4。

相比之下，这个系列在加入域的计算机中检测到的数量要少很多。

Pornpop 是一种广告软件系列，试图在用户的 Web 浏览器中显示

隐藏式弹出广告（通常包含成人内容）。它通常在包含非法或违法

内容的网站上存在，处于域环境中的用户通常会受到组织策略或拦

截软件的限制无法访问这种网站。

Taterf 和 Win32/Frethog 是两个相关联的系列，其威胁主要在于盗取

大型多人在线角色扮演游戏 (MMORPG) 用户的密码。此类游戏在工

作场所并不常见，但这两个系列在加入域和未加入域的计算机中检

测到的频率类似。Taterf 和 Frethog 主要靠可移动驱动器进行传播，

这种技术的开发初衷可能是为了在 Internet 网吧和公共游戏中心传

播这些系列，但该技术在企业环境中也可以实现迅速传播，这可能

是当初未预料到的。

45

电子邮件威胁

通过 Internet 发送的所有电子邮件几乎都是不需要的。这些不需要的电子邮

件不仅会加重收件人收件箱和电子邮件提供商资源的负担，还会创建这样

一种环境：通过电子邮件发送的恶意软件攻击和网络钓鱼尝试可能会激增。

电子邮件提供商、社交网络和其他联机社区已经将阻止垃圾邮件、网络钓

鱼和其他电子邮件威胁作为头等大事。

阻止的垃圾邮件

此部分中的信息是根据 Microsoft Forefront® Online Protection for Exchange

(FOPE) 提供的遥测数据编制的，后者为数以千计的企业客户以及每月数百

亿封邮件提供垃圾邮件、网络钓鱼和恶意软件筛选服务。（有关详细信息，

请参阅安全研究报告 网站的“参考指南”部分中的“垃圾邮件趋势”。）

图 28. 2010 年 FOPE 每月阻止的邮件

46

FOPE 收到并阻止的垃圾邮件数量在 2010 年的前 8 个月逐步增长并

达到稳定水平，在 9 月大幅减少，并在 10 月再次大幅减少。这可

能与在全球最著名的两个发送垃圾邮件的僵尸网络发生的事件有关：

o 在 8 月的最后一周，安全公司 LastLine 的研究人员带头发起了

一项有组织的活动，将与 Win32/Cutwail 垃圾邮件程序有关的命

令与控制 (C&C) 服务器进行拆除。在拆除后的几天内，FOPE

记录的平均每日阻止邮件数量有了明显减少。

o 大约 12 月 25 日，世界各地的垃圾邮件研究人员发现来自

Rustock 大型僵尸网络的垃圾邮件几乎完全停止，而一些垃圾

邮件跟踪器则报告全球的垃圾邮件率下降了 50% 甚至更多。

在 12 月的最后一个星期里，FOPE 阻止的邮件数量比前一星期

减少了近 30%，而 2009 年的最后两个星期只减少了不到 2%。

Rustock 僵尸网络随后在 1 月中旬再次开始发送垃圾邮件，

FOPE 阻止的邮件数量则随之增加。该僵尸网络中断的原因

仍在调查当中。

FOPE 分两个阶段执行垃圾邮件筛选。大多数垃圾邮件由服务器在网络边缘

阻止，这些服务器使用信誉筛选和其他非基于内容的规则来阻止垃圾邮件

或其他不需要的邮件。对于第一阶段未阻止的邮件，将使用基于内容的规

则进行扫描，可检测并筛选出其他许多电子邮件威胁，包括包含恶意软件

的附件。

47

图 29. 2010 年 FOPE 使用边缘阻止和内容筛选功能阻止的传入邮件的百分比

总体而言，在 2010 年，每 38.5 封传入邮件中仅有大约 1 封邮件会

进入收件人的收件箱。对于其余邮件，会在网络边缘或通过内容筛

选将其阻止。

在所有传入邮件中，大约有 95.3% 的邮件会在网络边缘被阻止，

这意味着，只会对 4.7% 的传入邮件执行需要更多资源的内容筛选

过程。

在过去几年内，边缘筛选技术（如 IP 地址信誉检查、SMTP 连接分

析和收件人验证）的有效性已经大幅提高，这使得邮件筛选服务可

以为最终用户提供更出色的保护，甚至在 Internet 上存在的不需要

的邮件总量非常之高时也能如此。

48

垃圾邮件类型

FOPE 内容筛选器能够识别几种不同类型的常见垃圾邮件。图 30 显示了

2010 年这些垃圾邮件类型的相对出现率。

图 30. FOPE 筛选器在 2010 年阻止的入站邮件（按类别）

在 2010 年，关于非性药品的广告占 FOPE 内容筛选器阻止的垃圾

邮件的 32.4%。

再加上非药品广告（占总数的 18.3%）和性兴奋产品广告 (3.3%)，

这些产品广告在 2010 年占垃圾邮件的 54.0%，这与上一年相比有

所降低（上一年为 69.2%）。

为了努力避开内容筛选器，垃圾邮件发送者经常会发送仅由

一个或多个图像组成的邮件，而在邮件正文中不包括任何文字。

在 2010 年，仅含图像的垃圾邮件占总数的 8.7%，这比 2009 年

的 6.3% 有所上升。

49

图 31. FOPE 内容筛选器在 2010 年每个月阻止的入站邮件（按类别）

50

在 2010 年的大部分时间里，非性药品广告和非药品广告都是排名

最高的类别，占有重大比例。

如图 31 所示，各月份的垃圾邮件类别差别很大，这是因为垃圾

邮件发送者的活动因时间而异，与合法广告商所做的非常类似。

用于宣传虚假大学毕业证书的垃圾邮件（通常属于数量较少的类

别）在 2 月和 3 月之间增加了将近 6 倍，在 3 月份和 4 月份成为

出现率排名第 3 的类别，到了 6 月则降至最后 1 名。与此类似，

仅含图像的广告在 5 月份的垃圾邮件中只占很少的份额，比例不断

减少，但在 6 月开始突然显著增加，在 8 月暂时超过非药品广告，

然后在剩下的时间内降至一般水平。

51

恶意网站

攻击者经常使用网站执行网络钓鱼攻击或分发恶意软件。恶意网站通常

看上去完全合法，并且经常没有任何表露恶意性质的外部标志，甚至是

经验丰富的计算机用户也看不出任何破绽。为了帮助用户避开恶意网页，

Microsoft 和其他浏览器供应商开发了一些筛选器来保持跟踪可托管恶意

软件和网络钓鱼攻击的站点，并在用户尝试导航到这些站点时显示明显

的警告。

此部分中的信息是根据以下各种内外部来源编制的：由 SmartScreen® 筛选

器（位于 Windows Internet Explorer 8 和 9 中）和网络钓鱼筛选器（位于

Internet Explorer 7 中）生成的遥测数据、包含 Internet Explorer 和其他

Microsoft 产品和服务的用户报告的已知活动的网络钓鱼和恶意软件托管站

点的数据库，以及 Microsoft 反恶意软件技术提供的恶意软件数据。（有关

详细信息，请参阅安全研究报告 网站的“参考指南”部分中的网络钓鱼和

恶意软件主机。）

52

图 32. Internet Explorer 8 和 9 中的 SmartScreen 筛选器阻止所报告的网络钓鱼和恶意

软件分发站点。

网络钓鱼站点

图 33 按月对 SmartScreen 数据库中的活动网络钓鱼站点数量与

Internet Explorer 跟踪的网络钓鱼印记 数量进行比较。一个网络

钓鱼印记是用户尝试通过 Internet Explorer 访问已知网络钓鱼

站点但受阻的单个实例。

53

图 33. 2010 年每月跟踪的网络钓鱼站点和印记（相对于每种情况的月平均值）

印记中的突然陡尖（如六月份显示的陡尖）并非不常见。网络钓鱼

程序经常会进行一些互不相关的旨在提高每个网络钓鱼网页流量

的活动，不一定会增加它们同时维护的活动网络钓鱼网页的总数。

在这种情况下，六月的增加量并不与任何特定类型的目标机构的增

加密切相关。

网络钓鱼印记和活动网络钓鱼网页彼此之间很少具有比较密切的

关系。Microsoft 跟踪的活动网络钓鱼网页总数在各个月非常稳定，

相对于 6 个月的平均值，任何月的偏差都不会超过 15%。

54

目标机构

图 34 和图 35 分别显示网络钓鱼印记和活动网络钓鱼站点的百分比，这些

数值由 Microsoft 在 2010 年的每个月内为最常见的目标类型的机构记录。

图 34. 2010 年每个月的每种网络钓鱼站点的印记

图 35. 2010 年每个月跟踪的活动网络钓鱼站点（按目标类型）

55

相比其他类型的站点，网络钓鱼程序的目标更倾向于金融站点，

但 2010 年的数据显示，网络钓鱼程序的目标开始向社交网络转

移。在 1 月份，以社交网络为目标的网络钓鱼印记仅占所有网络

钓鱼印记的 8.3%，而到了 12 月份，这个比例则上升到 84.5%。

特别是在最后 4 个月内，以社交网络为目标的网络钓鱼活动显示

了强劲而持续的增长势头。

在 2010 年年初，网络钓鱼程序针对在线游戏站点的攻击频率有所

增加，尽管随着社交网络受攻击的次数增加，这个势头似乎有所减

缓。在 6 月份，以游戏站点为目标的印记在所有印记中所占比例高

达 16.7%，而到了 12 月份，这个比例则跌至 2.1%，更接近平时的

水平。

以社交网络为目标的网络钓鱼站点定期按活动网络钓鱼站点收到最

大数量的印记。在最后几个月中，以社交网络为目标的活动网络钓

鱼站点的比例有所增加，但在 12 月，却只占活动站点总数的 4.2%，

尽管该月收到的印记比例高达 84.5%。不过，以游戏站点为目标的

活动站点数量在下半年仍保持相对较高的水平，预示着可能会有更

多的活动到来。

在以前的时间段内，以金融机构为目标的网络钓鱼站点占活动网络

钓鱼站点的大部分比例，且每个月所占比例从 78% 到 91% 各不相

等。网络钓鱼程序的目标金融机构可能是数百家，而且对于每家机

构，都需要自定义的网络钓鱼方法。相比而言，一些流行站点占了

Internet 上社交网络和联机服务使用情况的大部分，因此网络钓鱼

程序可以高效地将每个站点中的更多用户设为目标。尽管如此，

还是可能会有针对受害者银行帐户进行的直接非法访问，这意味着，

金融机构仍然是最受欢迎的网络钓鱼目标，每个月收到的印记数量

继续保持在第一或第二的位置。

56

网络钓鱼站点的全球分布

网络钓鱼站点位于世界各地的免费托管站点上、受攻击的 Web 服务器上以

及其他许多环境中。在关于报告的网络钓鱼站点的数据库中对 IP 地址执行

地理查找，可以创建地图来显示站点的地理分布以及分析模式。

图 36. 2010 年上半年（上）和 2010 年下半年（下）世界各地每 1,000 个 Internet 主机的网络钓鱼站点数

57

网络钓鱼站点在世界各地的分布在上半年和下半年基本保持一致。

网络钓鱼站点集中在一些位置，但在每个有人居住的大陆都已检测

到这些站点。

虽然在绝对意义上，大多数网络钓鱼网页都位于拥有大量 Internet

主机的大的工业化国家/地区，但人口较少且 Internet 主机较少的

位置往往会拥有密度更大的网络钓鱼网页。

恶意软件托管站

Internet Explorer 8 和 9 中的 SmartScreen 筛选器有助于防御网络钓鱼站点以

及已知托管了恶意软件的站点。SmartScreen 反恶意软件功能使用 URL 信誉

数据和 Microsoft 反恶意软件技术确定这些服务器是否会分发不安全的内容。

就像处理网络钓鱼站点一样，Microsoft 会持续跟踪有多少人访问每个恶意

托管站点，并使用这些信息来改进 SmartScreen 筛选器以及更好地与恶意软

件分发抗衡。（有关详细信息，请参阅安全研究报告 网站的“参考指南”

部分中的恶意软件主机。）

图 37. Internet Explorer 8（上）和 Internet Explorer 9（下）中的 SmartScreen

筛选器在用户尝试下载不安全文件时显示警告信息

58

图 38 按月对 SmartScreen 数据库中的活动恶意软件托管站点数量与

Internet Explorer 跟踪的恶意软件印记数量进行比较。

图 38. 2010 年每月跟踪的恶意软件托管站点和印记（相对于每种情况的月平均值）

每月跟踪的恶意软件托管站点的数量在一年中逐渐增加，主要是因

为检测水平的提高。

在前五个月内呈现增长趋势后，恶意软件托管印记的数量在剩下的

每个月内有所减少。与网络钓鱼防护相比，浏览器中的恶意软件托

管防护的发展相对较新，并且攻击者有可能正在从这种分发方式向

其他技术转移。

恶意软件类别

图 39 和 图 40 显示了 2010 年下半年由 SmartScreen 筛选器阻止的 URL

托管威胁。

59

图 39. 2010 年由 SmartScreen 筛选器阻止的 URL 托管威胁（按类别）

60

图 40. 2010 年上半年和 2010 年下半年由 SmartScreen 筛选器阻止的前 10 大站点托管恶意软件系列（以所有此

类站点所占比例显示）

61

2010 年

上半年排

名

威胁名称 最重要

的类别 百分比

1 Win32/MoneyTree

其他可

能不

需要的

软件

61.1

2 Win32/FakeXPA

其他特

洛伊

木马病

毒

3.3

3 Win32/VBInject

其他可

能不

需要的

软件

2.3

4 Win32/Winwebsec

其他特

洛伊

木马病

毒

2.0

5 Win32/Obfuscator

其他可

能不

需要的

软件

1.9

6 Win32/Pdfjsc

漏洞利

用 1.4

7 Win32/Small

特洛伊

木马

下载程

序和

植入程

序

1.3

8 Win32/Bancos

密码窃

取程序

和监视

工具

1.3

9 Win32/Swif

其他特

洛伊

木马病

毒

1.2

10 WinNT/Citeary

其他可

能不

需要的

软件

1.1

2010 年

下半年排

名

威胁名称 最重要

的类别 百分比

1 Win32/MoneyTree

其他可

能不

需要的

软件

47.3

2 Win32/Small

特洛伊

木马

下载程

序和

植入程

序

5.8

3 Win32/Delf

特洛伊

木马

下载程

序和

植入程

序

5.1

4 Win32/Startpage

其他特

洛伊

木马病

毒

4.2

5 Win32/Obfuscator

其他可

能不

需要的

软件

3.2

6 Win32/Banload

特洛伊

木马

下载程

序和

植入程

序

2.8

7 Win32/Bancos

密码窃

取程序

和监视

工具

2.0

8 Win32/Agent

其他特

洛伊

木马病

毒

1.1

9 Win32/Microjoin

特洛伊

木马

下载程

序和

植入程

序

1.1

10 Win32/Ciucio

特洛伊

木马

下载程

序和

植入程

序

1.0

62

总体而言，在上半年，托管前 10 大系列恶意软件的站点占所有

恶意软件印记的 76.9%，在下半年占 71.6%。

其他可能不需要的软件在所有恶意软件印记中所占比例大部分

时间一直保持在三分之二到四分之三之间，这主要是由于

Win32/MoneyTree 所致。从 2009 年上半年以来，MoneyTree

在每 6 个月内都是恶意软件印记数量最多的恶意软件系列。

由 SmartScreen 筛选器阻止的文档攻击下载由 2010 年上半年的

1.9% 减少到 2010 年下半年的 0.96%。这和检测到的利用 Java

攻击进行的文档攻击数量的减少有关，如第 13 页上的图 6所示。

Win32/VBInject、Win32/Obfuscator、Win32/Pdfjsc、Win32/Small、

Win32/Startpage 和 Win32/Swif 全都是常规检测功能，可对共有某些

特定可识别特征的不相关威胁集合进行检测。

恶意软件托管站点的全球分布

图 41 显示了 2010 年向 Microsoft 报告的恶意软件托管站点的地理分布。

图 41. 2010 年上半年（上）和 2010 年下半年（下）世界各地每 1,000 台 Internet 主机所具有的恶意软件分发

站点

63

与网络钓鱼站点一样，世界各地托管恶意软件的站点的分布在各个

时期都基本保持一致。

偷渡式下载站点

偷渡式下载 站点是托管一个或多个漏洞攻击的网站，这些漏洞攻击以 Web

浏览器和浏览器插件中的漏洞为攻击目标。使用易受攻击的计算机的用户

可能会因访问此类网站而受到恶意软件攻击，甚至是在未尝试下载任何内

容的情况下。

Microsoft Bing™ 等搜索引擎采取了多种措施来帮助用户防御偷渡式下载。

Bing 在对网站创建索引时，会对网站进行漏洞攻击分析，如果搜索结果列

表中列出的网页可能是偷渡式下载页，将显示警告消息。（有关偷渡式下

载如何运行以及 Bing 为用户提供的防御措施的更多信息，请参见安全研究

报告 网站“参考指南”部分中的偷渡式下载站点。）

此部分中的信息是通过对 Bing 索引中在 2010 年托管偷渡式下载页的网站

上执行国家/地区代码顶级域 (ccTLD) 分析而得出的。

64

图 42. 2010 年第 2 季度（上）和 2010 年第 4 季度（下）每个国家/地区代码顶级域 (ccTLD)

中托管偷渡式下载页的网站比例

65

2010 年下半年，向用户显示的每 1000 个搜索结果页中约有 2.4 个

偷渡式下载页。

总体而言，大多数感染严重的 ccTLD 都是小型 ccTLD。小型 TLD

因为较小，因而感染率比较容易发生较大变化。例如，如果规模

较小的国家或地区的重要 ISP 受到攻击者的攻击，则可能会影响

相关 ccTLD 中的大部分域。

图 42 没有反映托管站点的物理位置；并非所有 ccTLD 站点都在

ccTLD 本身所分配的位置托管。但是，大多数 ccTLD 站点都以特

定国家/地区的 Internet 用户为目标，并且通常以相应的语言编写，

因此，可将图 42 作为指明世界不同地区的用户遭遇偷渡式下载页

风险变化趋势（增加或降低）的合理指标。

66

附录

请访问 http://www.microsoft.com/sir 并下载英文版的安全研究报告

以查看以下材料：

附录 A：威胁命名约定

附录 B：数据源

附录 C：全球感染率

术语表

本报告中引用的威胁系列

67

One Microsoft Way

Redmond, WA 98052-

6399

microsoft.com/securit

y