根據(jù)瑞星“云安全”數(shù)據(jù)中心最新統(tǒng)計數(shù)據(jù)表明���,2009年上半年����,瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達2.9億個��,共有11.2億人次網(wǎng)民遭木馬攻擊���,平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站���;其中大型網(wǎng)站、流行軟件被掛馬的有35萬個(以域名計算)��,比去年同期有大幅度增長���,但第二季度比第一季度有顯著下降。 瑞星“云安全”系統(tǒng)正式運行1周年�����,瑞星殺毒軟件對掛馬網(wǎng)站進行了有效的攔截��,目前木馬病毒的增長勢頭被成功遏制,而傳統(tǒng)的“感染型病毒”逐漸抬頭�����,這這表明病毒制造團伙在掛馬網(wǎng)站被封堵的情況下�,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式����。 從瑞星“云安全”系統(tǒng)中心數(shù)據(jù)顯示 : 1、由于黑客針對大型網(wǎng)站����、流行軟件進行掛馬,使得單個木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢�����,據(jù)統(tǒng)計上半年度排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過了145萬���,排行第一的木馬感染了177萬人次的網(wǎng)民�����。 2�����、瑞星“云安全”系統(tǒng)已對色情���、淫穢等網(wǎng)站進行了有效的攔截和警告提示����,但是有近65.5%的用戶�,仍選擇點擊登錄,以滿足其好奇心�。 3、從木馬網(wǎng)站域名類型的統(tǒng)計來看���,CN域名是黑客掛馬最熱門的類型����。上半年度�,有67.8%的木馬網(wǎng)站使用CN域名�,其后依次【.com】、【.org】��、【.com.cn】�、【.net】��。 4���、網(wǎng)民被掛馬網(wǎng)站攻擊成功時使用的軟件,主要是各種瀏覽器��,以及內(nèi)嵌了網(wǎng)頁的流行軟件����。從統(tǒng)計數(shù)據(jù)可以看出,IE瀏覽器在該項統(tǒng)計中名列第1����,騰訊TT、傲游���、世界之窗����、360瀏覽器分列2至5位��。 5����、上半年1月至6月新增的惡意網(wǎng)址數(shù)量為71765942個�,平均每個月新增的惡意網(wǎng)址數(shù)量為11960990個����。 6、北京���、廣東�����、浙江是木馬網(wǎng)站數(shù)量最多的三個省��,有35%的木馬網(wǎng)站服務器位于北京市���。而廣東、北京����、湖南是受網(wǎng)民受木馬影響最為嚴重的省,網(wǎng)民數(shù)量越多的省受影響越嚴重��。 根據(jù)以上瑞星公司的統(tǒng)計研究表明�����,目前的互聯(lián)網(wǎng)非常脆弱��,各種熱點新聞����、流行軟件、社交(SNS)網(wǎng)站��、瀏覽器插件的漏洞層出不窮���,為黑客提供了大量入侵和攻擊的機會��。網(wǎng)頁取代網(wǎng)絡成為攻擊活動的主要渠道��,“掛馬網(wǎng)頁”已經(jīng)成為黑客傳播病毒的主要手段���。目前90%以上的木馬病毒通過“掛馬”方式傳播,這些幾乎都源于系統(tǒng)漏洞�、后臺服務器存在不安全設置、網(wǎng)站實現(xiàn)代碼缺陷(如SQL注入����、論壇代碼缺陷、跨站腳本等)����、或網(wǎng)站提供Web服務的程序漏洞���、IIS漏洞、Apache漏洞等隱患��,給黑客可乘之機�����;其中訪問量越大的網(wǎng)站越有被掛馬的可能�,因為此類網(wǎng)站被黑客關注程度較高;另外就是政府機關網(wǎng)站���、各大中型企業(yè)網(wǎng)站�,由于專業(yè)性技術人員缺乏��,網(wǎng)站大多由第三方公司外包開發(fā)���,存在缺陷較多�����,也最容易被掛馬 一����、2009年上半年度掛馬網(wǎng)站疫情概要 瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計表明��,2009年上半年度截獲的掛馬網(wǎng)站(網(wǎng)頁數(shù)量)總數(shù)目為2.9億個��,平均每天截獲162萬個����;掛馬網(wǎng)站攻擊總次數(shù)11.2億次,平均每天遭遇攻擊次數(shù)達622萬次���;其中確定是網(wǎng)站被掛馬的“掛馬網(wǎng)站”總數(shù)為351138個��,平均每天有1951個網(wǎng)站被掛馬����,2009年上半年第2周攔截的“掛馬網(wǎng)站”高達19383個���,平均每天2769個���。 
圖1 2009年上半年截獲木馬網(wǎng)站數(shù)量
圖2 2009年上半年掛馬網(wǎng)站攻擊次數(shù)
圖3 2009年上半年度木馬地址數(shù)量
通過以上數(shù)據(jù)顯示我們不難看出,09年6月份截獲木馬網(wǎng)站數(shù)量和掛馬網(wǎng)站攻擊次數(shù)有明顯減少掛馬減少威脅未減,掛馬減少威脅未減網(wǎng)絡安全狀況逐漸平穩(wěn)����。但瑞星專家提示您,隨著暑期臨近��,不少學生用戶網(wǎng)游娛樂和旅游休閑的頻次大幅上升���,網(wǎng)游相關下載�����、旅游網(wǎng)站訪問和數(shù)碼相機等存儲介質(zhì)的使用�����,給遠程控制木馬的傳播提供了可乘之機����。隨著瑞星“云安全”系統(tǒng)正式運行1周年�����,對掛馬網(wǎng)站和木馬病毒進行了有效的攔截���,目前木馬病毒的增長勢頭被成功遏制�,而傳統(tǒng)的“感染型病毒”逐漸抬頭,這表明病毒制造團伙在掛馬網(wǎng)站被封堵的情況下�����,為了保障其利益���,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式�。 二、2009年上半年度掛馬網(wǎng)站數(shù)據(jù)統(tǒng)計 1���、掛馬網(wǎng)站截獲量統(tǒng)計 瑞星“云安全”數(shù)據(jù)中心2009年上半年的監(jiān)測數(shù)據(jù)�,統(tǒng)計來自“瑞星殺毒軟件”��、“瑞星全功能安全軟件”自動攔截的掛馬網(wǎng)站數(shù)量�����,截獲到的掛馬網(wǎng)站(以網(wǎng)頁個數(shù)統(tǒng)計)數(shù)目總計292161979個����,攔截次數(shù)總計1119827619次�。 2��、掛馬網(wǎng)站平均訪問人次的統(tǒng)計 2009年上半年��,瑞星“云安全”數(shù)據(jù)中心已攔截到1119827619人次訪問掛馬網(wǎng)站���,每天平均訪問人次達6221264次�����。也就是說�����,平均每天有622萬余人次網(wǎng)民訪問過惡意網(wǎng)頁���。 3、每月新增的惡意網(wǎng)址數(shù)據(jù)統(tǒng)計 據(jù)瑞星“云安全”數(shù)據(jù)中心2009年上半年數(shù)據(jù)顯示��,1月-6月新增的惡意網(wǎng)址數(shù)量為71765942個�,平均每個月新增的惡意網(wǎng)址數(shù)量為11960990個,也就是說每天平均新增被掛馬url數(shù)量為398699個��。 
圖4 每月新增的惡意網(wǎng)址數(shù)據(jù)統(tǒng)計
4�、木馬網(wǎng)站Top10排行 
圖5 木馬網(wǎng)站Top10排行
排行首位的木馬網(wǎng)站被攔截的次數(shù)70萬次���;第二名的木馬網(wǎng)站被攔截次數(shù)為51萬余次;第十名的攔截次數(shù)也達到27萬余次�����。 5����、 木馬地址攔截量統(tǒng)計 “木馬地址”是指可以直接下載木馬病毒的URL網(wǎng)址,從瑞星“云安全”數(shù)據(jù)中心上半年統(tǒng)計看���,被攔截的木馬地址數(shù)目為1196092個,去掉重復地址后的數(shù)目是26832個�����,攔截次數(shù)共56143839次��。其中6月份被攔截木馬地址數(shù)量為3601935次掛馬減少威脅未減�����,比5月份有明顯下降����,掛馬減少威脅未減網(wǎng)絡安全狀況趨于平穩(wěn)狀態(tài)���。 
圖6 木馬地址攔截量統(tǒng)計
6、木馬地址Top10排行(十大木馬排行) 
圖7 木馬地址Top10排行
排名第一的木馬地址Worm.Win32.Autorun.eyr(病毒下載器)被攔截次數(shù)達到177萬余次���,前三位的木馬地址攔截次數(shù)均超過145萬次��,第十名的木馬地址攔截次數(shù)也達到97萬次�����。 7��、新型感染型病毒截獲量數(shù)據(jù) 從今年3月份開始�,“云安全”系統(tǒng)截獲的掛馬網(wǎng)站�、盜號木馬樣本數(shù)量呈明顯下降趨勢。隨著“云安全”系統(tǒng)的順利運行���,黑色產(chǎn)業(yè)鏈中的主要傳播途徑—“網(wǎng)站掛馬”受到嚴重打擊�,用戶通過“掛馬網(wǎng)站”直接感染木馬病毒的機會大大減少���,制作成本較低的木馬病毒也在逐漸下降�。 黑客為保證自己的獲得穩(wěn)定的經(jīng)濟利益,不得不重新采用新型感染性病毒��。據(jù)統(tǒng)計��,2009年1月份受感染型病毒侵襲的網(wǎng)民為106萬��,而6月份則達到了395萬���,上升了近4倍�。相對掛馬網(wǎng)站低廉的“成本”相比���,感染型病毒要求的技術門檻很高��,編寫難度較大,其傳播效率也大大低于掛馬網(wǎng)站傳播的木馬病毒�。 
圖8 感染性病毒被檢測的次數(shù)
8、用戶主動上報惡意網(wǎng)址數(shù)據(jù)統(tǒng)計 瑞星公司客服中心數(shù)據(jù)顯示�,2009年上半年用戶通過撥打電話、發(fā)送email�����、論壇提交等方式主動上報的惡意網(wǎng)址總量為12460個(其中電話902個���、郵件105個�����、論壇11032個����、其它421個),占瑞星“云安全”系統(tǒng)攔截惡意網(wǎng)址總數(shù)的千萬分之一��。 
圖9 用戶主動上報惡意網(wǎng)址數(shù)據(jù)統(tǒng)計
我們仔細想一下���,如果目前沒有瑞星“云安全”系統(tǒng)對掛馬網(wǎng)站的的攔截功能���,黑客團體就會利用上億個未被攔截的掛馬網(wǎng)站瘋狂的在網(wǎng)絡中傳播木馬病毒,控制大量的“肉雞”群體��,讓這些“肉雞”自動刷新訪問某個網(wǎng)站��,提升該網(wǎng)站的訪問量�����、造成網(wǎng)站癱瘓或者使某個網(wǎng)站服務器、防火墻癱瘓����,為黑客團伙牟取更多的經(jīng)濟利益,也因此大大的威脅了用戶的自身隱私和財產(chǎn)安全���。 9����、木馬網(wǎng)站域名的類型統(tǒng)計 瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明���,2009年上半年被攔截的木馬網(wǎng)站域名類型排行如下圖��,排名第一是【.cn】���,攔截量達10402029次,有67.8%的木馬網(wǎng)站使用CN域名�,前五名中排名緊隨其后的域名依次為【.com】、【.org】���、【.com.cn】、【.net】�����。 
圖10 2009年上半年度木馬域名類型統(tǒng)計排行
10、掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計 2009年上半年��,瑞星“云安全”數(shù)據(jù)中心還記錄了訪問掛馬網(wǎng)站的進程�,以及利用不安全進程訪問的掛馬網(wǎng)站數(shù)量。從下圖可以看出�,使用瀏覽器訪問掛馬網(wǎng)站的數(shù)量最多,IE名列第一���,騰訊TT和遨游緊隨其后��。 
圖11 掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計
11���、惡意網(wǎng)站地區(qū)分布數(shù)量統(tǒng)計 2009年上半年度惡意網(wǎng)站地區(qū)分布比例統(tǒng)計如下圖����,本數(shù)據(jù)顯示惡意網(wǎng)站服務器實際存在的地理位置��,以IP地址為準����。通常情況下,多個木馬網(wǎng)站URL會存在于同一IP地址�����,因此該數(shù)據(jù)的量級會遠遠小于實際的木馬網(wǎng)站數(shù)量。 
圖12 惡意網(wǎng)站地區(qū)分布比例
12�����、各個地區(qū)受惡意網(wǎng)站影響度排行 2009年上半年�,在各省疫情方面,廣東省以8%的數(shù)量領先�����,北京���、山東����、湖南���、江蘇等省市緊隨其后����。從瑞星“云安全”統(tǒng)計數(shù)據(jù)來看����,各省網(wǎng)民受惡意網(wǎng)木馬網(wǎng)站幾乎沒有差距,上網(wǎng)計算機保有量是疫情地區(qū)差別最重要的原因���。 
圖13 惡意網(wǎng)站影響地區(qū)排行
圖14
13�����、十大影響較大的被掛馬網(wǎng)站 榜單中的網(wǎng)站���,均曾在1-6月遭到過病毒團伙攻擊,并被掛上腳本木馬��。從瑞星“云安全”中心數(shù)據(jù)記錄到的掛馬網(wǎng)站中�,按知名度、訪問量人數(shù)�,以及網(wǎng)站代表性進行綜合評估,排出此榜單���。 
圖15 十大影響較大的被掛馬網(wǎng)站
三�����、2009年上半年度瑞星典型事件回顧 1�����、“惡意網(wǎng)站監(jiān)測網(wǎng)”亮相��?藪祚R網(wǎng)站���、釣魚網(wǎng)站等互聯(lián)網(wǎng)安全威脅 2009年1月8日�,瑞星推出“惡意網(wǎng)站監(jiān)測網(wǎng)(<http://mwm.rising.com.cn/>)”���,這是國內(nèi)首個專門針對掛馬網(wǎng)站�、釣魚網(wǎng)站等互聯(lián)網(wǎng)威脅的實時監(jiān)測系統(tǒng),所有政府機構(gòu)�、企業(yè)和個人用戶都可以免費瀏覽該網(wǎng)站���,全面����、清晰地了解國內(nèi)網(wǎng)站被黑客“掛馬”的情況���。該網(wǎng)站通過對“云安全”系統(tǒng)采集的數(shù)據(jù)進行分析和處理����,每天公布掛馬網(wǎng)站排行榜�、目前最危險的漏洞��、掛馬網(wǎng)站在各區(qū)域的危害情況等信息,用戶可以根據(jù)這些信息���,調(diào)整自己的安全防護措施��。所有使用“瑞星2009”產(chǎn)品的用戶����,訪問掛馬網(wǎng)站時都會被攔截����,而掛馬網(wǎng)站的網(wǎng)址�����、下載木馬的URL地址等信息���,則被上報到“云安全”系統(tǒng),瑞星“惡意網(wǎng)站監(jiān)測網(wǎng)”對這些收集到的數(shù)據(jù)進行分析匯總�,從中可以發(fā)現(xiàn)掛馬網(wǎng)站的真正“源頭”�。 
圖16 6月18日�����,3199653人次網(wǎng)民訪問惡意網(wǎng)站��,被“瑞星2009”攔截
據(jù)瑞星“云安全”監(jiān)測數(shù)據(jù)顯示,6月18日當天約有319萬網(wǎng)民訪問掛馬網(wǎng)站��,6月9日互聯(lián)網(wǎng)上共有42萬個網(wǎng)頁帶有木馬活動,118萬人次網(wǎng)民遭受攻擊,被瑞星2009攔截�������!叭鹦2009”的“木馬入侵攔截——網(wǎng)站攔截”功能會自動攔截這些掛馬網(wǎng)站,加入瑞星云安全計劃的用戶不會中毒����。而沒有加入瑞星“云安全”計劃的網(wǎng)民,則可能被木馬侵入����。目前流行的掛馬網(wǎng)站中通常會攜帶盜號木馬�、木馬下載器等,如果成功侵入用戶電腦,則會竊取網(wǎng)游��、網(wǎng)銀����、QQ帳號等��。 截至6月29日��,惡意網(wǎng)站http://vpsvip.com和http://15hamei.3322.org在排行榜上位居前兩位����,一周內(nèi)分別攻擊了154332人次和134307人次,都在了十萬次以上。瑞星安全專家表示��,黑客往往會把同一個惡意網(wǎng)站的木馬網(wǎng)址�����,同時植入多個被攻陷的正常網(wǎng)站���,例如http://vpsvip.com就被嵌入了多個流行網(wǎng)站�����、外掛網(wǎng)站,所以才能有如此大量的受害用戶��。 
圖17 截至6月28日惡意網(wǎng)站top5排行榜,以一個星期為間隔
惡意網(wǎng)站監(jiān)測網(wǎng)收集的惡意網(wǎng)址等信息���,會加入到瑞星全功能安全軟件2009,將90%以上的木馬病毒攔截在電腦之外��。 2、瑞星成為微軟MAPP合作伙伴 ���,瑞星用戶可第一時間獲得保護�����。 2009年5月,瑞星公司和微軟公司達成協(xié)議,成為微軟MAPP安全軟件合作伙伴�。自即日起��,瑞星可以在微軟發(fā)布月度安全更新之前���,提前獲取漏洞的相關信息,并可以第一時間升級瑞星漏洞特征庫��。這意味著,瑞星的用戶可以有效提高防范新木馬病毒和黑客攻擊的能力���。 微軟MAPP計劃全稱為Microsoft Active Protections Program�����,該計劃的目的是為了整合全球安全方面的資源�,經(jīng)過嚴格考核的頂級安全廠商�,可以提早獲取微軟漏洞的相關信息�,IBM、思科都是加入該計劃的早期成員���。瑞星是國內(nèi)安全軟件領域中最早的成員�����。 以前,微軟發(fā)布漏洞補丁程序之后����,用戶可以利用微軟提供的Windows 更新等手段進行安全更新����,與此同時,安全廠商對補丁程序進行分析���,并把下載地址更新到其安全軟件中����,并下載安裝���,而黑客和病毒病毒制造者會充分利用這段從發(fā)現(xiàn)安全威脅到用戶還未進行更新的“黃金時間”����,大肆進行網(wǎng)站掛馬和病毒傳播��。如果安全廠商提前獲得相關漏洞的信息�����,即有可能更及時的提供經(jīng)過更新的安全軟件或設備,更有效地防范這些木馬或病毒。 3��、瑞星“云安全”嵌入網(wǎng)游 �����,阻擊反盜號木馬�。 “游戲帳號怎么才能不被盜用?”裝備怎么老丟�?“網(wǎng)游盜號����,這一與網(wǎng)游私服和外掛并列為網(wǎng)絡犯罪打擊重要的違法行為�,正在大肆蠶食著網(wǎng)游玩家的心血,更為許多網(wǎng)民的網(wǎng)絡安全帶來隱患。 2009年6月25日,搜狐暢游與瑞星公司達成深度合作協(xié)議����,搜狐暢游將在旗下網(wǎng)游《天龍八部》安裝包中集成瑞星”云安全“客戶端��。這不僅是網(wǎng)絡游戲首次嵌入”云安全“客戶端,也是搜狐暢游和瑞星公司為保護玩家賬號安全,提供的最新一項重要舉措�����! 屆時�����,木馬病毒侵入安裝《天龍八部》的電腦,就會被上報到”云安全“服務器����,服務器最短時間內(nèi)返回結(jié)果���,用戶可對病毒進行查殺,這將有效防止網(wǎng)游玩家賬號被盜、游戲運行異常等情況���。據(jù)介紹,瑞星的”云安全“客戶端本身兼容性好����,控件在500K以內(nèi),不與游戲搶電腦資源���,具備優(yōu)先處理病毒的樣本��,無需用戶介入,自動識別病毒木馬等特點�����。 四���、2009年上半年度掛馬網(wǎng)站案例分析 1����、酷狗被黑客惡意掛馬 2009年2月25日���,瑞星”云安全“監(jiān)測數(shù)據(jù)表明�����,酷狗被掛馬�,當天截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為337519�����,第二天2月26日為480800,那一次掛馬的”壽命“長達兩天�,直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進程訪問掛馬網(wǎng)站數(shù)據(jù)量暴增���,為724381����,達到平時訪問量的30倍之多��,那次掛馬持續(xù)了一天��,3月15日被清除恢復正常��,當天顯示數(shù)量下降至18964����。 以3月14日為例,最早在3月14日凌晨4點19分酷狗論壇上就有用戶反饋酷狗被掛馬�,直至當天中午11點47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站為的”壽命“越長��,傳播和受害面就越廣��。尤其是沒有安裝網(wǎng)頁木馬攔截功能的軟件的這部分用戶,絲毫察覺不到自己的計算機已遭到攻擊��、入侵�。一旦木馬病毒下載后自動運行,信息安全就受到嚴重威脅��。 截止到6月29日�����,”云安全“數(shù)據(jù)中心顯示�����,酷狗網(wǎng)站在5月7日和6月9日仍有小范圍的被掛馬行為。(5月7日截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為27379����,6月9日為9552) 
圖18 KuGoo.exe上報量走勢圖
圖19 KuGoo.exe上報量走勢
2�����、“極品時刻表”被黑客惡意掛馬 2009年3月9日����,瑞星”云安全“系統(tǒng)提供的數(shù)據(jù)表明,網(wǎng)民中流行的”極品時刻表“軟件被黑客掛馬,截至當天19時為止�,瑞星已攔截到66757人次網(wǎng)民遭到攻擊。極品時刻表內(nèi)嵌的網(wǎng)頁被黑客植入木馬��,當用戶使用該軟件查詢列車車次時�����,就會遭到攻擊����。 
圖20 點擊”查詢“按鈕之后,該軟件自動打開的內(nèi)嵌廣告頁帶毒
被植入木馬的網(wǎng)頁為極品時刻表內(nèi)嵌的廣告網(wǎng)頁��,用戶在使用”查詢“功能之后���,該軟件會自動打開那個被掛馬的網(wǎng)頁��。該網(wǎng)頁中使用了多個常用軟件的流行漏洞���,如果用戶沒有做好相應的防護,很容易中毒��。 據(jù)了解�����,極品時刻表被植入的木馬地址為http://***.6t65r.cn/��,該惡意網(wǎng)木馬網(wǎng)站量在那幾天上升極快�,可能黑客還把該網(wǎng)頁植入了其它常用網(wǎng)站或軟件當中��。玩家一旦中毒��,電腦會被下載病毒下載器�、盜號木馬、蠕蟲等惡性病毒����,從而帶來極大的安全風險。 3���、博客房產(chǎn)網(wǎng)站被掛馬 導致大量用戶中毒 2009年4月�,據(jù)瑞星”云安全“系統(tǒng)統(tǒng)計,本月瑞星共截獲了15432616個木馬網(wǎng)址�����,4月24-4.26日共有6,438,943人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊���,瑞星共截獲了1,847,811個掛馬網(wǎng)址。僅4月24日當天就有2,325,7762人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊���,瑞星截獲了681,393個掛馬網(wǎng)址�。其中博客���、房地產(chǎn)����、招聘、學校類網(wǎng)站被掛馬次數(shù)頻繁: 
圖21
4����、美女艷照引來網(wǎng)絡掛馬狂潮 2009年5月, ”海運女艷照“成為網(wǎng)民關注的焦點���,黑客利用此焦點事件傳毒的事件有增多的趨勢����,據(jù)”云安全“中心數(shù)據(jù)顯示���, 5月14日就有近百個相關帶毒論壇����、網(wǎng)站被截獲��,其中植入的木馬絕大部分會竊取網(wǎng)游帳號���、下載其它惡意程序等��。 
圖22
據(jù)瑞星技術部門分析���,黑客主要采用三種方式傳播病毒:建立帶毒網(wǎng)站��,然后把網(wǎng)站地址通過QQ����、論壇等方式轉(zhuǎn)貼����,吸引用戶瀏覽,瀏覽后就會中毒���;把艷照圖片跟病毒打包在一起����,在論壇發(fā)帖稱”我有最全艷照合集“�����,讓網(wǎng)民留下郵箱���,然后把帶毒圖片包發(fā)到網(wǎng)民郵箱里�����,網(wǎng)民打開瀏覽時就會中毒����,還有的直接把木馬病毒偽裝成圖片的模樣,用戶瀏覽時就會中毒�����。 目前,幾大搜索引擎的貼吧里����,有關海運女的帖子已經(jīng)有數(shù)萬個,其中絕大多數(shù)是讓網(wǎng)民留下郵箱�,發(fā)送圖片包的�����。還有的黑客趁機在熱門帖子后面跟帖�����,留下帶毒網(wǎng)站的鏈接�����,誘騙網(wǎng)民上當���。 5���、微軟DirectShow爆嚴重漏洞�,黑客利用該漏洞掛馬 2009年6月�����,微軟公司向MAPP伙伴公布其DirectShow軟件中存在的一個嚴重漏洞��,利用該漏洞的掛馬網(wǎng)站已經(jīng)在互聯(lián)網(wǎng)上出現(xiàn)��,用戶瀏覽這些網(wǎng)站后就會中毒�。作為中國大陸地區(qū)的MAPP合作伙伴,瑞星公司在收到微軟提供的相關技術資料后�����,針對此漏洞進行了緊急分析�����,并通過”云安全“系統(tǒng)成功截獲了利用該漏洞的掛馬網(wǎng)站。 據(jù)了解���,微軟DirectShow漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時���,可能導致遠程任意代碼執(zhí)行。攻擊者可隨意查看����、更改或刪除數(shù)據(jù)或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。其中Windows 2000 Service Pack 4��、Windows XP和 WindowsServer 2003容易受攻擊,Windows Vista和 Windows Server 2008的所有版本不容易受影響����。 
圖23
6、PDF網(wǎng)馬成為國內(nèi)近期較為流行的掛馬趨勢 在以往的網(wǎng)馬解密分析中�����,惡意網(wǎng)址利用pdf漏洞網(wǎng)馬寥寥無幾。偶爾零星的也是在國外網(wǎng)馬分析中有pdf網(wǎng)馬身影�����。但是根據(jù)近期針對國內(nèi)網(wǎng)馬分析���,發(fā)現(xiàn)了多起pdf網(wǎng)馬身影�����。 根據(jù)6月份的瑞星每日安全播報分析的惡意網(wǎng)址來看��,像類似http://2.hffangchan.com(合肥房產(chǎn)網(wǎng))�、http://bbs.skyhu.com(火狐游戲網(wǎng))���、http://www.china228.com/(好得網(wǎng))等被掛馬網(wǎng)站�,在所掛惡意鏈接中均有pdf網(wǎng)馬,以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等兩個鏈接出現(xiàn)頻率最高,且出現(xiàn)有一個pdf網(wǎng)馬��,使用網(wǎng)馬解密工具分析����,出現(xiàn)截然兩種不同的網(wǎng)馬下載地址����,使用相關的下載工具驗證下載�����,解密出網(wǎng)馬地址均為真實有效的可以下載的地址�����。雖然這個漏洞大概在2008年左右出現(xiàn),也是在近期分析國內(nèi)所掛惡意鏈接地址中���,出現(xiàn)pdf網(wǎng)馬����。這也充分說明了pdf網(wǎng)馬應該會在2009年下半年國內(nèi)網(wǎng)頁掛馬中���,增加黑客牟利成功的砝碼��。 7����、微軟最新視頻控件漏洞導致木馬爆發(fā) 7月7日��,瑞星公司發(fā)布橙色安全警報����,微軟視頻控件(Microsoft Video ActiveX Control)漏洞導致的掛馬網(wǎng)站攻擊大幅增加���,7月5日凌晨瑞星”云安全“系統(tǒng)首次監(jiān)控到利用該漏洞的攻擊代碼出現(xiàn)���,隨后的5日6日短短兩天內(nèi)��,監(jiān)測到130萬用戶遭到利用該漏洞的攻擊�����。 瑞星安全專家分析�����,產(chǎn)生漏洞的原因是用戶系統(tǒng)中的msvidctl.dll組件不正確讀取持久化的字節(jié)數(shù)組,攻擊者可隨意覆蓋SEH或者RET���,將EIP 設置成任意數(shù)值��,結(jié)合javascript堆噴射方式可遠程執(zhí)行任意代碼����,黑客不必讓用戶運行被惡意修改的視頻文件就可以進行掛馬攻擊。用戶一旦訪問被掛馬的網(wǎng)站后����,就會自動觸發(fā)MPEG-2視頻組件的msvidctl.dll組件,然后運行黑客植入的網(wǎng)頁木馬�,最終下載大量盜號木馬病毒,導致用戶電腦系統(tǒng)異常甚至藍屏�,并盜取用戶網(wǎng)游賬號密碼等個人信息。 
圖24
8�、微軟Office漏洞導致大量掛馬網(wǎng)站 7月13日�,繼微軟視頻控件漏洞出現(xiàn)之后��,微軟Office網(wǎng)絡組件遠程控制漏洞被黑客利用�����,進行掛馬攻擊�����。根據(jù)瑞星”云安全“系統(tǒng)監(jiān)測���,5日內(nèi)已有133余萬臺電腦遭攻擊。北京時間14日凌晨���,微軟已經(jīng)發(fā)布了針對該漏洞的通告����。 該漏洞危害全系列Windows系統(tǒng)����,黑客可利用該漏洞來構(gòu)建掛馬網(wǎng)站,用戶訪問這些網(wǎng)站后即會被感染����,植入木馬下載器、盜號木馬等惡意程序���。目前該漏洞沒有官方補丁�,瑞星殺毒軟件2009、瑞星全功能安全軟件2009中的獨有”網(wǎng)頁防掛馬“模塊���,采用”網(wǎng)頁腳本行為分析技術“�����,無需補丁即可有效攔截利用該漏洞的掛馬網(wǎng)站�。 
圖25
五、2009年上半年度惡意網(wǎng)站掛馬分析 1�����、利用各種漏洞掛馬 2009年上半年�����,黑客對于漏洞的利用趨勢沒有明顯轉(zhuǎn)變�,其主要用途仍然在網(wǎng)頁掛馬上,如:Realplay 播放器漏洞�、聯(lián)眾世界漏洞、暴風影音漏洞等。同時���,針對漏洞出現(xiàn)的攻擊程序、代碼也呈現(xiàn)出目的性強��、時效性高的趨勢�����。由于目前流行的各種熱門網(wǎng)站、客戶端軟件和瀏覽器�,都存在著眾多漏洞和安全薄弱點,使得用戶遭到攻擊的渠道暴增�����;而且����,隨著黑客-病毒產(chǎn)業(yè)鏈臻于完善�,支撐互聯(lián)網(wǎng)發(fā)展的多種商業(yè)模式都遭到了盜號木馬�、木馬點擊器的侵襲��,使得用戶對于網(wǎng)絡購物、網(wǎng)絡支付��、網(wǎng)游產(chǎn)業(yè)的安全信心遭到打擊���。 瑞星”云安全“系統(tǒng)監(jiān)測發(fā)現(xiàn)��,一旦出現(xiàn)微軟漏洞,很快會被惡意攻擊者廣泛采用來進行網(wǎng)頁掛馬活動: 2009年2月�����,瑞星公司發(fā)出第一個紅色(一級)安全警報,因為針對IE7新漏洞(MS09--002)的病毒攻擊代碼在網(wǎng)上公布,導致利用該漏洞的新木馬病毒大量出現(xiàn)�。從瑞星”云安全“數(shù)據(jù)中心統(tǒng)計看,該漏洞補丁發(fā)布日期前后的一段時間���,惡意掛馬網(wǎng)站的數(shù)目以及攔截次數(shù)均有不同程度的漲幅��。僅在2月19日就截獲了高達866萬人次的掛馬網(wǎng)站攻擊��,比前一天增加了一倍之多����。 2009年6月,微軟DirectShow爆嚴重漏洞����,黑客利用熱門視頻傳播木馬已成為慣用伎倆���,而對”DirectShow視頻開發(fā)包“漏洞的利用則是在視頻播放時下載木馬,而視頻文件本身并不需要捆綁木馬���,因此可以避開殺毒軟件和防火墻的防護��,黑客可以通過在線播放”網(wǎng)頁掛馬“、 網(wǎng)友間視頻共享等多種途徑傳播木馬���。該漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時��,可能導致遠程任意代碼執(zhí)行�����。攻擊者可隨意查看���、更改或刪除數(shù)據(jù)或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶����。 2、利用CSS掛馬 隨著Web2.0技術以及Blog�����、Wiki等廣泛的應用�,各種網(wǎng)頁特效用得越來越多,這也給黑客一個可乘之機�。他們發(fā)現(xiàn)����,用來制作網(wǎng)頁特效的CSS代碼��,可以用來掛馬。而比較諷刺的是���,CSS掛馬方式其實是從防范IFRAME掛馬的CSS代碼演變而來���。CSS掛馬方式���,可以說是Web2.0時代黑客的最愛�。 在Web1.0時代�,使用IFRAME掛馬對于黑客而言���,與其說是為了更好地實現(xiàn)木馬的隱藏��,倒不如說是無可奈何的一個選擇�����。在簡單的HTML網(wǎng)頁和缺乏交互性的網(wǎng)站中���,黑客可以利用的手段也非常有限,即使采取了復雜的偽裝�,也很容易被識破,還不如IFRAME來得直接和有效����。 但如今交互式的Web2.0網(wǎng)站越來越多�����,允許用戶設置與修改的博客、SNS社區(qū)等紛紛出現(xiàn)。這些互動性非常強的社區(qū)和博客中�����,往往會提供豐富的功能��,并且會允許用戶使用CSS層疊樣式表來對網(wǎng)站的網(wǎng)頁進行自由的修改��,這促使了CSS掛馬流行�。 注意:CSS是層疊樣式表(Cascading Style Sheets)的英文縮寫。CSS最主要的目的是將文件的結(jié)構(gòu)(用HTML或其他相關語言寫的)與文件的顯示分隔開來��。這個分隔可以讓文件的可讀性得到加強��、文件的結(jié)構(gòu)更加靈活����。 黑客在利用CSS掛馬時�����,往往是借著網(wǎng)民對某些大網(wǎng)站的信任�����,將CSS惡意代碼掛到博客或者其他支持CSS的網(wǎng)頁中���,當網(wǎng)民在訪問該網(wǎng)頁時惡意代碼就會執(zhí)行�。這就如同你去一家知名且證照齊全的大醫(yī)院看病���,你非常信任醫(yī)院����,但是你所看的門診卻已經(jīng)被庸醫(yī)外包了下來���,并且打著醫(yī)院的名義利用你的信任成功欺騙了你��。但是當你事后去找人算賬時����,醫(yī)院此時也往往一臉無辜�。 據(jù)瑞星”云安全“監(jiān)測系統(tǒng)顯示,每天約有30%的網(wǎng)民上網(wǎng)時會遇到掛馬網(wǎng)站��。這些掛馬網(wǎng)站中80%以上屬于管理不嚴的正規(guī)網(wǎng)站���,其中包括門戶網(wǎng)站���、娛樂網(wǎng)站、市場經(jīng)濟形勢網(wǎng)站、網(wǎng)絡論壇����、游戲網(wǎng)站等(如下圖),用戶訪問這些網(wǎng)站就會中毒。顯而易見�,越來越多的惡意攻擊源自利用CSS掛馬的合法網(wǎng)站����。 
圖26
3��、利用”熱點信息“傳播牟利 瑞星”云安全“系統(tǒng)監(jiān)測發(fā)現(xiàn)��,只要公眾關注某一話題����,黑客就會”如影隨行“, 目的就是通過掛馬實現(xiàn)病毒感染��、控制肉雞�、盜號�、提高網(wǎng)站點擊率等等以達到其最終的經(jīng)濟利益。 �。1)杰克遜病逝新聞引網(wǎng)民關注 娛樂網(wǎng)站大量被“黑” 隨著《變形金剛2》的熱映與邁克爾·杰克遜病逝等事件成為廣大網(wǎng)民關注的熱點�����,大量網(wǎng)民訪問視頻網(wǎng)站收看預告片或追憶明星生前的經(jīng)典影音。這些視頻網(wǎng)站很快就被黑客瞄上了。更有甚者����,一些木馬病毒還偽裝成殺毒軟件,欺騙用戶付費�。”殺軟偽造者木馬“Trojan.Win32.FakeAV.ri)就是其中之一�����。該病毒是一個假冒殺毒軟件的欺騙程序�,病毒會把自身偽造成一個正常的殺毒軟件�,在桌面和開始菜單生成快捷方式����。無論用戶電腦是否有病毒,偽造的殺毒軟件都會提示掃描到病毒,騙用戶殺毒����,使用戶更容易上當注冊�。當用戶使用偽裝的”清除病毒功能“時���,會連接指定網(wǎng)站進行注冊并對指定網(wǎng)站進行流量點擊。 (2)黑客瞄準購物網(wǎng)站���,傳播盜號病毒 ”網(wǎng)購“已成為時值人們最流行的購物方式���,黑客也虎視眈眈的瞄準了購物網(wǎng)站,瑞星”云安全“系統(tǒng)就從截獲的掛馬網(wǎng)站中發(fā)現(xiàn)�����,多家禮品購物網(wǎng)站被駭客惡意掛馬��,E搜禮品網(wǎng)站幾乎每個網(wǎng)頁都被掛上了木馬病毒�����,用戶一旦點擊被掛馬的網(wǎng)頁就有可能被木馬入侵�,而這些木馬病毒有90%以上都是盜號病毒,黑客通過獲取到的賬號��,轉(zhuǎn)移用戶資金,嚴重威脅用戶網(wǎng)上銀行資金安全 4���、網(wǎng)頁掛馬更具隱蔽性和智能化 通過對瑞星云安全攔截的惡意網(wǎng)址進一步分析��,發(fā)現(xiàn)惡意網(wǎng)址更加具有隱蔽性����,一般惡意網(wǎng)址鏈接����,最少通過3次跳轉(zhuǎn) ,最多也就7—8次跳轉(zhuǎn),分析出最終網(wǎng)馬地址��。而在近期網(wǎng)馬解密分析中�,有出現(xiàn)惡意地址經(jīng)過多次跳轉(zhuǎn),要經(jīng)過層層分析����,最終才能解密出最終網(wǎng)馬地址�。而這些都是源于系統(tǒng)漏洞、后臺服務器存在不安全設置���、網(wǎng)站實現(xiàn)代碼缺陷(如SQL注入�、論壇代碼缺陷、跨站腳本等)���、或網(wǎng)站提供Web服務的程序漏洞�����、IIS漏洞��、Apache漏洞等隱患,給黑客可乘之機��;其中訪問量越大的網(wǎng)站越有被掛馬的可能���,因為此類網(wǎng)站被黑客關注程度較高���;另外政府機關網(wǎng)站、各大中型企業(yè)網(wǎng)站���,由于專業(yè)性技術人員缺乏��,網(wǎng)站大多由第三方公司外包開發(fā)�,存在缺陷較多,也最容易被掛馬���。 近期��,對瑞星”云安全“截獲的惡意網(wǎng)址進行分析�����,發(fā)現(xiàn)惡意鏈接為:”<http://3b3.org/c.js>“極為猖獗�,分析其js腳本程序�,其中有針對gov.cn、edu.cn這兩個域名判斷,如果是gov.cn和edu.cn就不嵌入掛馬網(wǎng)址���,即對政府和教育類域名屏蔽掛馬網(wǎng)址��,可見黑客團伙的網(wǎng)頁掛馬技術已日趨智能化和產(chǎn)業(yè)化�����。 
圖27
5���、瑞星掛馬網(wǎng)站攔截功能 以”海運女艷照“被黑客惡意掛馬為例,黑客利用此焦點事件傳毒的事件有增多的趨勢�����,如果安裝了”瑞星殺毒軟件2009“或”瑞星全功能安全軟件“���,當網(wǎng)民瀏覽帶毒論壇�、網(wǎng)站時�����,瑞星2009會立即提示網(wǎng)頁存在惡意代碼��,并顯示病毒名稱�,如下圖��。 
圖28
再以09年6月28日”中國票務網(wǎng)(htxxp://www.piao.com/)被植入惡意代碼為例��。用戶訪問該頁面將被安裝木馬病毒等惡意程序��,可以導致電腦被黑客控制并且被竊取敏感信息�����。【MalUrl:htxxp://www.piao.com/c_lvyou/index.asp】�,安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會立即提示網(wǎng)頁存在惡意代碼,并進行攔截,如下圖��。 
圖29
圖30
六、針對2009年下半年惡意網(wǎng)站安全威脅提示 高度警惕網(wǎng)頁掛馬���,雖然從瑞星“云安全”中心數(shù)據(jù)顯示�,6月掛馬網(wǎng)站存在下降趨勢�����,但由于這種傳播方式歷史悠久、感染成功率高����,病毒團伙絕不會這樣放棄�。隨著暑期臨近,學生用戶網(wǎng)游娛樂和旅游休閑的頻次大幅上升���,網(wǎng)游相關下載、旅游網(wǎng)站訪問和數(shù)碼相機等存儲介質(zhì)的使用�,給遠程控制木馬的傳播提供了可乘之機。一旦用戶感染這些后臺木馬�,就會淪為病毒團伙控制的“肉雞”,成為其實施網(wǎng)絡犯罪的工具�,并威脅到您自身的隱私和財產(chǎn)安全�����,請您及時安裝和升級您的安全軟件�����。 大型網(wǎng)站不等于安全網(wǎng)站,在2009年上半年瑞星“云安全”攔截惡意網(wǎng)址中���,有不少政府的類網(wǎng)站被掛馬����,這也應該會成為下半年網(wǎng)頁掛馬流行趨勢,傳統(tǒng)上�,網(wǎng)民們有如下錯誤觀念:只有不良網(wǎng)站才會帶毒���、才會被掛馬�,只要堅持良好的瀏覽習慣�����,就可以躲避盜號木馬的侵襲����。統(tǒng)計數(shù)據(jù)表明,這樣的觀念已經(jīng)過時���,黑客也已轉(zhuǎn)移目標�,改變策略�,不僅僅瞄準一些不知名網(wǎng)站,那些所謂的“正常網(wǎng)站��、大中型網(wǎng)站”正在整個木馬鏈條中發(fā)揮著越來越重要的作用�,如政府便民類網(wǎng)站、體育明星���、影視明星類網(wǎng)站也將成為黑客垂涎三尺的肥肉。 針對以上不安全因素����,瑞星專家建議廣大網(wǎng)民采取以下措施: 1、安裝瑞星全功能安全軟件2009�,其中獨有的“木馬入侵攔截”功能�,能通過對掛馬網(wǎng)頁行為的監(jiān)控,阻止木馬入侵用戶電腦��,將木馬病毒攔截在電腦之外�。其強大的殺毒引擎�,可以徹底殺滅新型感染型病毒與木馬���。 2�����、安裝“瑞星個人防火墻2009”����,它集成國內(nèi)最大的“木馬網(wǎng)址庫”���,并且每天升級云安全系統(tǒng)捕獲的掛馬網(wǎng)站網(wǎng)址��,可以第一時間攔截掛馬網(wǎng)站���。 3、利用瑞星卡卡的“漏洞掃描與修復”功能�����,可以幫網(wǎng)民修復系統(tǒng)漏洞��,阻止掛馬網(wǎng)站利用各種漏洞進行侵襲�。 4�、養(yǎng)成良好上網(wǎng)習慣,高度警惕網(wǎng)絡詐騙���,不觀看各類不良視頻���,不訪問不健康網(wǎng)站。 | 
