2009年上半年中國地區互聯網安全報告
【51CTO.com 綜合消息】根據瑞星“云安全”數據中心最新統計數據表明,2009年上半年,瑞星“云安全”系統攔截到的掛馬網頁數累計達2.9億個,共有11.2億人次網民遭木馬攻擊,平均每天有622萬余人次網民訪問掛馬網站;其中大型網站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長,但第二季度比第一季度有顯著下降。
瑞星“云安全”系統正式運行1周年,瑞星殺毒軟件對掛馬網站進行了有效的攔截,目前木馬病毒的增長勢頭被成功遏制,而傳統的“感染型病毒”逐漸抬頭,這這表明病毒制造團伙在掛馬網站被封堵的情況下,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式。
從瑞星“云安全”系統中心數據顯示 :
1、由于黑客針對大型網站、流行軟件進行掛馬,使得單個木馬網站攻擊網民的數量有上升趨勢,據統計上半年度排行前兩位的木馬網站攻擊網民數量都超過了145萬,排行第一的木馬感染了177萬人次的網民。
2、瑞星“云安全”系統已對色情、淫穢等網站進行了有效的攔截和警告提示,但是有近65.5%的用戶,仍選擇點擊登錄,以滿足其好奇心。
3、從木馬網站域名類型的統計來看,CN域名是黑客掛馬最熱門的類型。上半年度,有67.8%的木馬網站使用CN域名,其后依次【.com】、【.org】、【.com.cn】、【.net】。
4、網民被掛馬網站攻擊成功時使用的軟件,主要是各種瀏覽器,以及內嵌了網頁的流行軟件。從統計數據可以看出,IE瀏覽器在該項統計中名列第1,騰訊TT、遨游、世界之窗、360瀏覽器分列2至5位。
5、上半年1月至6月新增的惡意網址數量為71765942個,平均每個月新增的惡意網址數量為11960990個。
6、北京、廣東、浙江是木馬網站數量最多的三個省,有35%的木馬網站服務器位于北京市。而廣東、北京、湖南是受網民受木馬影響最為嚴重的省,網民數量越多的省受影響越嚴重。
根據以上瑞星公司的統計研究表明,目前的互聯網非常脆弱,各種熱點新聞、流行軟件、社交(SNS)網站、瀏覽器插件的漏洞層出不窮,為黑客提供了大量入侵和攻擊的機會。網頁取代網絡成為攻擊活動的主要渠道,“掛馬網頁”已經成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過“掛馬”方式傳播,這些幾乎都源于系統漏洞、后臺服務器存在不安全設置、網站實現代碼缺陷(如SQL注入、論壇代碼缺陷、跨站腳本等)、或網站提供Web服務的程序漏洞、IIS漏洞、Apache漏洞等隱患,給黑客可乘之機;其中訪問量越大的網站越有被掛馬的可能,因為此類網站被黑客關注程度較高;另外就是政府機關網站、各大中型企業網站,由于專業性技術人員缺乏,網站大多由第三方公司外包開發,存在缺陷較多,也最容易被掛馬
免責聲明:
本報告綜合瑞星“云安全”數據中心的統計,僅針對中國大陸地區2009年上半年度攔截的木馬網站數據進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構、廠商作為互聯網信息安全狀況的介紹和研究資料,請相關單位酌情使用,如若本報告闡述之狀況、數據與其它機構研究結果有差異,請使用方自行辨別,瑞星公司不承擔與此相關的一切法律責任。#p#
一、2009年上半年度掛馬網站疫情概要
瑞星“云安全”數據中心的統計表明,2009年上半年度截獲的掛馬網站(網頁數量)總數目為2.9億個,平均每天截獲162萬個;掛馬網站攻擊總次數11.2億次,平均每天遭遇攻擊次數達622萬次;其中確定是網站被掛馬的“掛馬網站”總數為351138個,平均每天有1951個網站被掛馬,2009年上半年第2周攔截的“掛馬網站”高達19383個,平均每天2769個。
 |
| 圖1 |
 |
| 圖2 |
 |
| 圖3 |
通過以上數據顯示我們不難看出,09年6月份截獲木馬網站數量和掛馬網站攻擊次數有明顯減少,網絡安全狀況逐漸平穩。但瑞星專家提示您,隨著暑期臨近,不少學生用戶網游娛樂和旅游休閑的頻次大幅上升,網游相關下載、旅游網站訪問和數碼相機等存儲介質的使用,給遠程控制木馬的傳播提供了可乘之機。隨著瑞星“云安全”系統正式運行1周年,對掛馬網站和木馬病毒進行了有效的攔截,目前木馬病毒的增長勢頭被成功遏制,而傳統的“感染型病毒”逐漸抬頭,這表明病毒制造團伙在掛馬網站被封堵的情況下,為了保障其利益,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式。#p#
二、2009年上半年度掛馬網站數據統計
1、掛馬網站截獲量統計
瑞星“云安全”數據中心2009年上半年的監測數據,統計來自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動攔截的掛馬網站數量,截獲到的掛馬網站(以網頁個數統計)數目總計292161979個,攔截次數總計1119827619次。
2、掛馬網站平均訪問人次的統計
2009年上半年,瑞星“云安全”數據中心已攔截到1119827619人次訪問掛馬網站,每天平均訪問人次達6221264次。也就是說,平均每天有622萬余人次網民訪問過惡意網頁。
3、每月新增的惡意網址數據統計
據瑞星“云安全”數據中心2009年上半年數據顯示,1月-6月新增的惡意網址數量為71765942個,平均每個月新增的惡意網址數量為11960990個,也就是說每天平均新增被掛馬url數量為398699個。
 |
| 圖4 |
4、木馬網站Top10排行
 |
| 圖5 |
排行首位的木馬網站被攔截的次數70萬次;第二名的木馬網站被攔截次數為51萬余次;第十名的攔截次數也達到27萬余次。
5、 木馬地址攔截量統計
“木馬地址”是指可以直接下載木馬病毒的URL網址,從瑞星“云安全”數據中心上半年統計看,被攔截的木馬地址數目為1196092個,去掉重復地址后的數目是26832個,攔截次數共56143839次。其中6月份被攔截木馬地址數量為3601935次,比5月份有明顯下降,網絡安全狀況趨于平穩狀態。
 |
| 圖6 |
6、木馬地址Top10排行(十大木馬排行)
 |
| 圖7 |
排名第一的木馬地址Worm.Win32.Autorun.eyr(病毒下載器)被攔截次數達到177萬余次,前三位的木馬地址攔截次數均超過145萬次,第十名的木馬地址攔截次數也達到97萬次。
7、新型感染型病毒截獲量數據
從今年3月份開始,“云安全”系統截獲的掛馬網站、盜號木馬樣本數量呈明顯下降趨勢。隨著“云安全”系統的順利運行,黑色產業鏈中的主要傳播途徑—“網站掛馬”受到嚴重打擊,用戶通過“掛馬網站”直接感染木馬病毒的機會大大減少,制作成本較低的木馬病毒也在逐漸下降。
黑客為保證自己的獲得穩定的經濟利益,不得不重新采用新型感染性病毒。據統計,2009年1月份受感染型病毒侵襲的網民為106萬,而6月份則達到了395萬,上升了近4倍。相對掛馬網站低廉的“成本”相比,感染型病毒要求的技術門檻很高,編寫難度較大,其傳播效率也大大低于掛馬網站傳播的木馬病毒。
 |
| 圖8 |
8、用戶主動上報惡意網址數據統計
瑞星公司客服中心數據顯示,2009年上半年用戶通過撥打電話、發送email、論壇提交等方式主動上報的惡意網址總量為12460個(其中電話902個、郵件105個、論壇11032個、其它421個),占瑞星“云安全”系統攔截惡意網址總數的千萬分之一。
 |
| 圖9 |
我們仔細想一下,如果目前沒有瑞星“云安全”系統對掛馬網站的的攔截功能,黑客團體就會利用上億個未被攔截的掛馬網站瘋狂的在網絡中傳播木馬病毒,控制大量的“肉雞”群體,讓這些“肉雞”自動刷新訪問某個網站,提升該網站的訪問量、造成網站癱瘓或者使某個網站服務器、防火墻癱瘓,為黑客團伙牟取更多的經濟利益,也因此大大的威脅了用戶的自身隱私和財產安全。
9、木馬網站域名的類型統計
瑞星“云安全”數據中心截獲的數據表明,2009年上半年被攔截的木馬網站域名類型排行如下圖,排名第一是【.cn】,攔截量達10402029次,有67.8%的木馬網站使用CN域名,前五名中排名緊隨其后的域名依次為【.com】、【.org】、【.com.cn】、【.net】。
 |
| 圖10 |
10、掛馬網站利用不安全軟件的次數統計
2009年上半年,瑞星“云安全”數據中心還記錄了訪問掛馬網站的進程,以及利用不安全進程訪問的掛馬網站數量。從下圖可以看出,使用瀏覽器訪問掛馬網站的數量最多,IE名列第一,騰訊TT和遨游緊隨其后。
 |
| 圖11 |
11、惡意網站地區分布數量統計
2009年上半年度惡意網站地區分布比例統計如下圖,本數據顯示惡意網站服務器實際存在的地理位置,以IP地址為準。通常情況下,多個木馬網站URL會存在于同一IP地址,因此該數據的量級會遠遠小于實際的木馬網站數量。
 |
| 圖12 |
12、各個地區受惡意網站影響度排行
2009年上半年,在各省疫情方面,廣東省以8%的數量領先,北京、山東、湖南、江蘇等省市緊隨其后。從瑞星“云安全”統計數據來看,各省網民受惡意網木馬網站幾乎沒有差距,上網計算機保有量是疫情地區差別最重要的原因。
 |
|
圖13 |
 |
| 圖14 |
13、十大影響較大的被掛馬網站
榜單中的網站,均曾在1-6月遭到過病毒團伙攻擊,并被掛上腳本木馬。從瑞星“云安全”中心數據記錄到的掛馬網站中,按知名度、訪問量人數,以及網站代表性進行綜合評估,排出此榜單。
 |
| 圖15 |
#p#
三、2009年上半年度瑞星典型事件回顧
1、“惡意網站監測網”亮相專克掛馬網站、釣魚網站等互聯網安全威脅
2009年1月8日,瑞星推出“惡意網站監測網(http://mwm.rising.com.cn/)”,這是國內首個專門針對掛馬網站、釣魚網站等互聯網威脅的實時監測系統,所有政府機構、企業和個人用戶都可以免費瀏覽該網站,全面、清晰地了解國內網站被黑客“掛馬”的情況。該網站通過對“云安全”系統采集的數據進行分析和處理,每天公布掛馬網站排行榜、目前最危險的漏洞、掛馬網站在各區域的危害情況等信息,用戶可以根據這些信息,調整自己的安全防護措施。所有使用“瑞星2009”產品的用戶,訪問掛馬網站時都會被攔截,而掛馬網站的網址、下載木馬的URL地址等信息,則被上報到“云安全”系統,瑞星“惡意網站監測網”對這些收集到的數據進行分析匯總,從中可以發現掛馬網站的真正“源頭”。
 |
| 圖16 |
(6月18日,3199653人次網民訪問惡意網站,被“瑞星2009”攔截)
據瑞星“云安全“監測數據顯示,6月18日當天約有319萬網民訪問掛馬網站,6月9日互聯網上共有42萬個網頁帶有木馬活動,118萬人次網民遭受攻擊,被瑞星2009攔截。“瑞星2009”的“木馬入侵攔截——網站攔截”功能會自動攔截這些掛馬網站,加入瑞星云安全計劃的用戶不會中毒。而沒有加入瑞星“云安全”計劃的網民,則可能被木馬侵入。目前流行的掛馬網站中通常會攜帶盜號木馬、木馬下載器等,如果成功侵入用戶電腦,則會竊取網游、網銀、QQ帳號等。
截至6月29日,惡意網站http://vpsvip.com和http://15hamei.3322.org在排行榜上位居前兩位,一周內分別攻擊了154332人次和134307人次,都在了十萬次以上。瑞星安全專家表示,黑客往往會把同一個惡意網站的木馬網址,同時植入多個被攻陷的正常網站,例如http://vpsvip.com就被嵌入了多個流行網站、外掛網站,所以才能有如此大量的受害用戶。
 |
| 圖17 |
( 截至6月28日惡意網站top5排行榜,以一個星期為間隔)
惡意網站監測網收集的惡意網址等信息,會加入到瑞星全功能安全軟件2009,將90%以上的木馬病毒攔截在電腦之外。
2、瑞星成為微軟MAPP合作伙伴 ,瑞星用戶可第一時間獲得保護。
2009年5月,瑞星公司和微軟公司達成協議,成為微軟MAPP安全軟件合作伙伴。自即日起,瑞星可以在微軟發布月度安全更新之前,提前獲取漏洞的相關信息,并可以第一時間升級瑞星漏洞特征庫。這意味著,瑞星的用戶可以有效提高防范新木馬病毒和黑客攻擊的能力。 微軟MAPP計劃全稱為Microsoft Active Protections Program,該計劃的目的是為了整合全球安全方面的資源,經過嚴格考核的頂級安全廠商,可以提早獲取微軟漏洞的相關信息,IBM、思科都是加入該計劃的早期成員。瑞星是國內安全軟件領域中最早的成員。 以前,微軟發布漏洞補丁程序之后,用戶可以利用微軟提供的Windows 更新等手段進行安全更新,與此同時,安全廠商對補丁程序進行分析,并把下載地址更新到其安全軟件中,并下載安裝,而黑客和病毒病毒制造者會充分利用這段從發現安全威脅到用戶還未進行更新的“黃金時間”,大肆進行網站掛馬和病毒傳播。如果安全廠商提前獲得相關漏洞的信息,即有可能更及時的提供經過更新的安全軟件或設備,更有效地防范這些木馬或病毒。
3、瑞星“云安全”嵌入網游 ,阻擊反盜號木馬。
“游戲帳號怎么才能不被盜用?“裝備怎么老丟?”網游盜號,這一與網游私服和外掛并列為網絡犯罪打擊重要的違法行為,正在大肆蠶食著網游玩家的心血,更為許多網民的網絡安全帶來隱患。
2009年6月25日,搜狐暢游與瑞星公司達成深度合作協議,搜狐暢游將在旗下網游《天龍八部》安裝包中集成瑞星“云安全”客戶端。這不僅是網絡游戲首次嵌入“云安全”客戶端,也是搜狐暢游和瑞星公司為保護玩家賬號安全,提供的最新一項重要舉措! 屆時,木馬病毒侵入安裝《天龍八部》的電腦,就會被上報到“云安全”服務器,服務器最短時間內返回結果,用戶可對病毒進行查殺,這將有效防止網游玩家賬號被盜、游戲運行異常等情況。據介紹,瑞星的“云安全”客戶端本身兼容性好,控件在500K以內,不與游戲搶電腦資源,具備優先處理病毒的樣本,無需用戶介入,自動識別病毒木馬等特點。#p#
四、2009年上半年度掛馬網站案例分析
1、酷狗被黑客惡意掛馬
2009年2月25日,瑞星“云安全”監測數據表明,酷狗被掛馬,當天截獲到KuGoo.exe訪問掛馬網站的數量為337519,第二天2月26日為480800,那一次掛馬的“壽命”長達兩天,直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進程訪問掛馬網站數據量暴增,為724381,達到平時訪問量的30倍之多,那次掛馬持續了一天,3月15日被清除恢復正常,當天顯示數量下降至18964。
以3月14日為例,最早在3月14日凌晨4點19分酷狗論壇上就有用戶反饋酷狗被掛馬,直至當天中午11點47分仍有類似的帖子出現。惡意網木馬網站為的“壽命”越長,傳播和受害面就越廣。尤其是沒有安裝網頁木馬攔截功能的軟件的這部分用戶,絲毫察覺不到自己的計算機已遭到攻擊、入侵。一旦木馬病毒下載后自動運行,信息安全就受到嚴重威脅。
截止到6月29日,“云安全”數據中心顯示,酷狗網站在5月7日和6月9日仍有小范圍的被掛馬行為。(5月7日截獲到KuGoo.exe訪問掛馬網站的數量為27379,6月9日為9552)
 |
| 圖18 |
 |
| 圖19 |
2、“極品時刻表”被黑客惡意掛馬
2009年3月9日,瑞星“云安全”系統提供的數據表明,網民中流行的“極品時刻表”軟件被黑客掛馬,截至當天19時為止,瑞星已攔截到66757人次網民遭到攻擊。極品時刻表內嵌的網頁被黑客植入木馬,當用戶使用該軟件查詢列車車次時,就會遭到攻擊。
 |
| 圖20 |
(點擊“查詢”按鈕之后,該軟件自動打開的內嵌廣告頁帶毒)
被植入木馬的網頁為極品時刻表內嵌的廣告網頁,用戶在使用“查詢”功能之后,該軟件會自動打開那個被掛馬的網頁。該網頁中使用了多個常用軟件的流行漏洞,如果用戶沒有做好相應的防護,很容易中毒。
據了解,極品時刻表被植入的木馬地址為http://***.6t65r.cn/,該惡意網木馬網站量在那幾天上升極快,可能黑客還把該網頁植入了其它常用網站或軟件當中。玩家一旦中毒,電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒,從而帶來極大的安全風險。
3、博客房產網站被掛馬 導致大量用戶中毒
2009年4月,據瑞星“云安全”系統統計,本月瑞星共截獲了15432616個木馬網址,4月24-4.26日共有6,438,943人次的網民遭到網頁掛馬攻擊,瑞星共截獲了1,847,811個掛馬網址。僅4月24日當天就有2,325,7762人次的網民遭到網頁掛馬攻擊,瑞星截獲了681,393個掛馬網址。其中博客、房地產、招聘、學校類網站被掛馬次數頻繁:
 |
| 圖21 |
4、美女艷照引來網絡掛馬狂潮
2009年5月, “海運女艷照”成為網民關注的焦點,黑客利用此焦點事件傳毒的事件有增多的趨勢,據“云安全”中心數據顯示, 5月14日就有近百個相關帶毒論壇、網站被截獲,其中植入的木馬絕大部分會竊取網游帳號、下載其它惡意程序等。
 |
| 圖22 |
據瑞星技術部門分析,黑客主要采用三種方式傳播病毒:建立帶毒網站,然后把網站地址通過QQ、論壇等方式轉貼,吸引用戶瀏覽,瀏覽后就會中毒;把艷照圖片跟病毒打包在一起,在論壇發帖稱“我有最全艷照合集”,讓網民留下郵箱,然后把帶毒圖片包發到網民郵箱里,網民打開瀏覽時就會中毒,還有的直接把木馬病毒偽裝成圖片的模樣,用戶瀏覽時就會中毒。
目前,幾大搜索引擎的貼吧里,有關海運女的帖子已經有數萬個,其中絕大多數是讓網民留下郵箱,發送圖片包的。還有的黑客趁機在熱門帖子后面跟帖,留下帶毒網站的鏈接,誘騙網民上當。
5、微軟DirectShow爆嚴重漏洞,黑客利用該漏洞掛馬
2009年6月,微軟公司向MAPP伙伴公布其DirectShow軟件中存在的一個嚴重漏洞,利用該漏洞的掛馬網站已經在互聯網上出現,用戶瀏覽這些網站后就會中毒。作為中國大陸地區的MAPP合作伙伴,瑞星公司在收到微軟提供的相關技術資料后,針對此漏洞進行了緊急分析,并通過“云安全”系統成功截獲了利用該漏洞的掛馬網站。
據了解,微軟DirectShow漏洞在播放某些經過特殊構造的QuickTime媒體文件時,可能導致遠程任意代碼執行。攻擊者可隨意查看、更改或刪除數據或者創建擁有完全用戶權限的新帳戶。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻擊,Windows Vista和 Windows Server 2008的所有版本不容易受影響。
 |
| 圖23 |
6、PDF網馬成為國內近期較為流行的掛馬趨勢
在以往的網馬解密分析中,惡意網址利用pdf漏洞網馬寥寥無幾。偶爾零星的也是在國外網馬分析中有pdf網馬身影。但是根據近期針對國內網馬分析,發現了多起pdf網馬身影。
根據6月份的瑞星每日安全播報分析的惡意網址來看,像類似http://2.hffangchan.com(合肥房產網)、http://bbs.skyhu.com(火狐游戲網)、http://www.china228.com/(好得網)等被掛馬網站,在所掛惡意鏈接中均有pdf網馬,以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等兩個鏈接出現頻率最高,且出現有一個pdf網馬,使用網馬解密工具分析,出現截然兩種不同的網馬下載地址,使用相關的下載工具驗證下載,解密出網馬地址均為真實有效的可以下載的地址。雖然這個漏洞大概在2008年左右出現,也是在近期分析國內所掛惡意鏈接地址中,出現pdf網馬。這也充分說明了pdf網馬應該會在2009年下半年國內網頁掛馬中,增加黑客牟利成功的砝碼。
7、微軟最新視頻控件漏洞導致木馬爆發
7月7日,瑞星公司發布橙色安全警報,微軟視頻控件(Microsoft Video ActiveX Control)漏洞導致的掛馬網站攻擊大幅增加,7月5日凌晨瑞星“云安全”系統首次監控到利用該漏洞的攻擊代碼出現,隨后的5日6日短短兩天內,監測到130萬用戶遭到利用該漏洞的攻擊。
瑞星安全專家分析,產生漏洞的原因是用戶系統中的msvidctl.dll組件不正確讀取持久化的字節數組,攻擊者可隨意覆蓋SEH或者RET,將EIP 設置成任意數值,結合javascript堆噴射方式可遠程執行任意代碼,黑客不必讓用戶運行被惡意修改的視頻文件就可以進行掛馬攻擊。用戶一旦訪問被掛馬的網站后,就會自動觸發MPEG-2視頻組件的msvidctl.dll組件,然后運行黑客植入的網頁木馬,最終下載大量盜號木馬病毒,導致用戶電腦系統異常甚至藍屏,并盜取用戶網游賬號密碼等個人信息。
 |
| 圖24 |
8、微軟Office漏洞導致大量掛馬網站
7月13日,繼微軟視頻控件漏洞出現之后,微軟Office網絡組件遠程控制漏洞被黑客利用,進行掛馬攻擊。根據瑞星“云安全”系統監測,5日內已有133余萬臺電腦遭攻擊。北京時間14日凌晨,微軟已經發布了針對該漏洞的通告。
該漏洞危害全系列Windows系統,黑客可利用該漏洞來構建掛馬網站,用戶訪問這些網站后即會被感染,植入木馬下載器、盜號木馬等惡意程序。目前該漏洞沒有官方補丁,瑞星殺毒軟件2009、瑞星全功能安全軟件2009中的獨有“網頁防掛馬”模塊,采用“網頁腳本行為分析技術”,無需補丁即可有效攔截利用該漏洞的掛馬網站。
 |
| 圖25 |
#p#
五、2009年上半年度惡意網站掛馬分析
1、利用各種漏洞掛馬
2009年上半年,黑客對于漏洞的利用趨勢沒有明顯轉變,其主要用途仍然在網頁掛馬上,如:Realplay 播放器漏洞、聯眾世界漏洞、暴風影音漏洞等。同時,針對漏洞出現的攻擊程序、代碼也呈現出目的性強、時效性高的趨勢。由于目前流行的各種熱門網站、客戶端軟件和瀏覽器,都存在著眾多漏洞和安全薄弱點,使得用戶遭到攻擊的渠道暴增;而且,隨著黑客-病毒產業鏈臻于完善,支撐互聯網發展的多種商業模式都遭到了盜號木馬、木馬點擊器的侵襲,使得用戶對于網絡購物、網絡支付、網游產業的安全信心遭到打擊。
瑞星“云安全”系統監測發現,一旦出現微軟漏洞,很快會被惡意攻擊者廣泛采用來進行網頁掛馬活動:
2009年2月,瑞星公司發出第一個紅色(一級)安全警報,因為針對IE7新漏洞(MS09--002)的病毒攻擊代碼在網上公布,導致利用該漏洞的新木馬病毒大量出現。從瑞星“云安全”數據中心統計看,該漏洞補丁發布日期前后的一段時間,惡意掛馬網站的數目以及攔截次數均有不同程度的漲幅。僅在2月19日就截獲了高達866萬人次的掛馬網站攻擊,比前一天增加了一倍之多。
2009年6月,微軟DirectShow爆嚴重漏洞,黑客利用熱門視頻傳播木馬已成為慣用伎倆,而對“DirectShow視頻開發包”漏洞的利用則是在視頻播放時下載木馬,而視頻文件本身并不需要捆綁木馬,因此可以避開殺毒軟件和防火墻的防護,黑客可以通過在線播放“網頁掛馬”、 網友間視頻共享等多種途徑傳播木馬。該漏洞在播放某些經過特殊構造的QuickTime媒體文件時,可能導致遠程任意代碼執行。攻擊者可隨意查看、更改或刪除數據或者創建擁有完全用戶權限的新帳戶。
2、利用CSS掛馬
隨著Web2.0技術以及Blog、Wiki等廣泛的應用,各種網頁特效用得越來越多,這也給黑客一個可乘之機。他們發現,用來制作網頁特效的CSS代碼,可以用來掛馬。而比較諷刺的是,CSS掛馬方式其實是從防范IFRAME掛馬的CSS代碼演變而來。CSS掛馬方式,可以說是Web2.0時代黑客的最愛。
在Web1.0時代,使用IFRAME掛馬對于黑客而言,與其說是為了更好地實現木馬的隱藏,倒不如說是無可奈何的一個選擇。在簡單的HTML網頁和缺乏交互性的網站中,黑客可以利用的手段也非常有限,即使采取了復雜的偽裝,也很容易被識破,還不如IFRAME來得直接和有效。
但如今交互式的Web2.0網站越來越多,允許用戶設置與修改的博客、SNS社區等紛紛出現。這些互動性非常強的社區和博客中,往往會提供豐富的功能,并且會允許用戶使用CSS層疊樣式表來對網站的網頁進行自由的修改,這促使了CSS掛馬流行。
注意:CSS是層疊樣式表(Cascading Style Sheets)的英文縮寫。CSS最主要的目的是將文件的結構(用HTML或其他相關語言寫的)與文件的顯示分隔開來。這個分隔可以讓文件的可讀性得到加強、文件的結構更加靈活。
黑客在利用CSS掛馬時,往往是借著網民對某些大網站的信任,將CSS惡意代碼掛到博客或者其他支持CSS的網頁中,當網民在訪問該網頁時惡意代碼就會執行。這就如同你去一家知名且證照齊全的大醫院看病,你非常信任醫院,但是你所看的門診卻已經被庸醫外包了下來,并且打著醫院的名義利用你的信任成功欺騙了你。但是當你事后去找人算賬時,醫院此時也往往一臉無辜。
據瑞星“云安全”監測系統顯示,每天約有30%的網民上網時會遇到掛馬網站。這些掛馬網站中80%以上屬于管理不嚴的正規網站,其中包括門戶網站、娛樂網站、市場經濟形勢網站、網絡論壇、游戲網站等(如下圖),用戶訪問這些網站就會中毒。顯而易見,越來越多的惡意攻擊源自利用CSS掛馬的合法網站。
 |
| 圖26 |
3、利用“熱點信息”傳播牟利
瑞星“云安全”系統監測發現,只要公眾關注某一話題,黑客就會“如影隨行”, 目的就是通過掛馬實現病毒感染、控制肉雞、盜號、提高網站點擊率等等以達到其最終的經濟利益。
(1)、杰克遜病逝新聞引網民關注 娛樂網站大量被“黑”
隨著《變形金剛2》的熱映與邁克爾•杰克遜病逝等事件成為廣大網民關注的熱點,大量網民訪問視頻網站收看預告片或追憶明星生前的經典影音。這些視頻網站很快就被黑客瞄上了。更有甚者,一些木馬病毒還偽裝成殺毒軟件,欺騙用戶付費。“殺軟偽造者木馬”Trojan.Win32.FakeAV.ri)就是其中之一。該病毒是一個假冒殺毒軟件的欺騙程序,病毒會把自身偽造成一個正常的殺毒軟件,在桌面和開始菜單生成快捷方式。無論用戶電腦是否有病毒,偽造的殺毒軟件都會提示掃描到病毒,騙用戶殺毒,使用戶更容易上當注冊。當用戶使用偽裝的“清除病毒功能”時,會連接指定網站進行注冊并對指定網站進行流量點擊。
(2)、黑客瞄準購物網站,傳播盜號病毒
“網購“已成為時值人們最流行的購物方式,黑客也虎視眈眈的瞄準了購物網站,瑞星“云安全”系統就從截獲的掛馬網站中發現,多家禮品購物網站被駭客惡意掛馬,E搜禮品網站幾乎每個網頁都被掛上了木馬病毒,用戶一旦點擊被掛馬的網頁就有可能被木馬入侵,而這些木馬病毒有90%以上都是盜號病毒,黑客通過獲取到的賬號,轉移用戶資金,嚴重威脅用戶網上銀行資金安全
4、網頁掛馬更具隱蔽性和智能化
通過對瑞星云安全攔截的惡意網址進一步分析,發現惡意網址更加具有隱蔽性,一般惡意網址鏈接,最少通過3次跳轉 ,最多也就7—8次跳轉,分析出最終網馬地址。而在近期網馬解密分析中,有出現惡意地址經過多次跳轉,要經過層層分析,最終才能解密出最終網馬地址。而這些都是源于系統漏洞、后臺服務器存在不安全設置、網站實現代碼缺陷(如SQL注入、論壇代碼缺陷、跨站腳本等)、或網站提供Web服務的程序漏洞、IIS漏洞、Apache漏洞等隱患,給黑客可乘之機;其中訪問量越大的網站越有被掛馬的可能,因為此類網站被黑客關注程度較高;另外政府機關網站、各大中型企業網站,由于專業性技術人員缺乏,網站大多由第三方公司外包開發,存在缺陷較多,也最容易被掛馬。
近期,對瑞星“云安全”截獲的惡意網址進行分析,發現惡意鏈接為:“http://3b3.org/c.js”極為猖獗,分析其js腳本程序,其中有針對gov.cn、edu.cn這兩個域名判斷,如果是gov.cn和edu.cn就不嵌入掛馬網址,即對政府和教育類域名屏蔽掛馬網址,可見黑客團伙的網頁掛馬技術已日趨智能化和產業化。
 |
| 圖27 |
5、瑞星掛馬網站攔截功能
以“海運女艷照”被黑客惡意掛馬為例,黑客利用此焦點事件傳毒的事件有增多的趨勢,如果安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”,當網民瀏覽帶毒論壇、網站時,瑞星2009會立即提示網頁存在惡意代碼,并顯示病毒名稱,如下圖。
 |
| 圖28 |
再以09年6月28日“中國票務網(htxxp://www.piao.com/)被植入惡意代碼為例。用戶訪問該頁面將被安裝木馬病毒等惡意程序,可以導致電腦被黑客控制并且被竊取敏感信息。
【MalUrl:htxxp://www.piao.com/c_lvyou/index.asp】,安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會立即提示網頁存在惡意代碼,并進行攔截,如下圖。
 |
| 圖29 |
 |
| 圖30 |
#p#
六、針對2009年下半年惡意網站安全威脅提示
高度警惕網頁掛馬,雖然從瑞星”云安全”中心數據顯示,6月掛馬網站存在下降趨勢,但由于這種傳播方式歷史悠久、感染成功率高,病毒團伙絕不會這樣放棄。隨著暑期臨近,學生用戶網游娛樂和旅游休閑的頻次大幅上升,網游相關下載、旅游網站訪問和數碼相機等存儲介質的使用,給遠程控制木馬的傳播提供了可乘之機。一旦用戶感染這些后臺木馬,就會淪為病毒團伙控制的“肉雞”,成為其實施網絡犯罪的工具,并威脅到您自身的隱私和財產安全,請您及時安裝和升級您的安全軟件。
大型網站不等于安全網站,在2009年上半年瑞星“云安全”攔截惡意網址中,有不少政府的類網站被掛馬,這也應該會成為下半年網頁掛馬流行趨勢,傳統上,網民們有如下錯誤觀念:只有不良網站才會帶毒、才會被掛馬,只要堅持良好的瀏覽習慣,就可以躲避盜號木馬的侵襲。統計數據表明,這樣的觀念已經過時,黑客也已轉移目標,改變策略,不僅僅瞄準一些不知名網站,那些所謂的“正常網站、大中型網站”正在整個木馬鏈條中發揮著越來越重要的作用,如政府便民類網站、體育明星、影視明星類網站也將成為黑客垂涎三尺的肥肉。
針對以上不安全因素,瑞星專家建議廣大網民采取以下措施:
1、安裝瑞星全功能安全軟件2009,其中獨有的“木馬入侵攔截”功能,能通過對掛馬網頁行為的監控,阻止木馬入侵用戶電腦,將木馬病毒攔截在電腦之外。其強大的殺毒引擎,可以徹底殺滅新型感染型病毒與木馬。
2、安裝“瑞星個人防火墻2009”,它集成國內最大的“木馬網址庫”,并且每天升級云安全系統捕獲的掛馬網站網址,可以第一時間攔截掛馬網站。
3、利用瑞星卡卡的“漏洞掃描與修復”功能,可以幫網民修復系統漏洞,阻止掛馬網站利用各種漏洞進行侵襲。
4、養成良好上網習慣,高度警惕網絡詐騙,不觀看各類不良視頻,不訪問不健康網站。
