【51CTO.com 綜合消息】根據(jù)瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計數(shù)據(jù)，2009年1月至3月，瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達1億9千多萬個，共有8億人次網(wǎng)民遭木馬攻擊，平均每天有889萬余人次網(wǎng)民訪問掛馬網(wǎng)站；其中大型網(wǎng)站、流行軟件被掛馬的有24202個，比去年同期有大幅度增長，掛馬網(wǎng)站已經(jīng)成為威脅國內(nèi)互聯(lián)網(wǎng)安全的主要因素。

注：“木馬網(wǎng)站”是一種利用程序漏洞，在后臺偷偷下載木馬的網(wǎng)頁。這些網(wǎng)頁通常放在黑客自己管理的服務(wù)器上，當(dāng)用戶訪問時，會把許多木馬下載到用戶機器中并運行。“掛馬網(wǎng)站”指的是被黑客植入惡意代碼的正規(guī)網(wǎng)站，這些被植入的惡意代碼，通常會直接指向“木馬網(wǎng)站”的網(wǎng)絡(luò)地址?！澳抉R地址”指的是木馬病毒真正的網(wǎng)絡(luò)下載地址。

由于黑客針對大型網(wǎng)站、流行軟件進行掛馬，使得單個木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢，據(jù)統(tǒng)計，第一季度排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過了86萬。由于現(xiàn)在黑客通常在每個掛馬網(wǎng)站上放多個木馬，這使得單個木馬的感染網(wǎng)民數(shù)很高，排行第一的木馬感染了144萬人次的網(wǎng)民。

從木馬網(wǎng)站域名類型的統(tǒng)計來看，CN域名是黑客掛馬最熱門的類型。第一季度，有85.5%的木馬網(wǎng)站使用CN域名，其后依次.com、.org、.net、.com.cn。

另外，瑞星“云安全”系統(tǒng)還統(tǒng)計了網(wǎng)民被掛馬網(wǎng)站攻擊成功時使用的軟件，主要是各種瀏覽器，以及內(nèi)嵌了網(wǎng)頁的流行軟件。從統(tǒng)計數(shù)據(jù)可以看出，IE瀏覽器在該項統(tǒng)計中名列第1，騰訊TT、遨游、世界之窗、360瀏覽器分列2至5位。另外，還有其他應(yīng)用程序進程，如KuGoo.exe等。

注：此統(tǒng)計反映的是木馬侵入成功之后的軟件進程，因此和使用者數(shù)量、瀏覽器的安全性密切相關(guān)。例如，如果網(wǎng)民訪問某掛馬網(wǎng)站，他安裝的瑞星全功能安全軟件2009、瑞星卡卡等產(chǎn)品會把網(wǎng)站中的木馬攔在電腦之外，使用戶的機器就不會被侵入，僅上報攔截結(jié)果，作為統(tǒng)計數(shù)據(jù)參考。

根據(jù)瑞星“云安全”系統(tǒng)的統(tǒng)計，北京、廣東、浙江是木馬網(wǎng)站數(shù)量最多的三個省，其中有34%的木馬網(wǎng)站服務(wù)器位于北京市。而廣東、北京、湖南是受網(wǎng)民受木馬影響最為嚴(yán)重的省，網(wǎng)民數(shù)量越多的省受影響越嚴(yán)重。

另外，瑞星“云安全”系統(tǒng)還統(tǒng)計了目前木馬的“壽命”（在互聯(lián)網(wǎng)上存在的時間）。根據(jù)統(tǒng)計數(shù)據(jù)，第一季度的十大木馬網(wǎng)站中，壽命最短的1天，最長的是5天。而且，其壽命長短與攻擊威力不成正比。比如710sese.cn網(wǎng)站，壽命僅僅為一天，其攻擊的網(wǎng)民數(shù)量就達到了224萬。

瑞星公司的統(tǒng)計研究表明，目前的互聯(lián)網(wǎng)非常脆弱，各種流行軟件、社交（SNS）網(wǎng)站、瀏覽器插件的漏洞層出不窮，為黑客提供了大量入侵和攻擊的機會。網(wǎng)頁取代網(wǎng)絡(luò)成為攻擊活動的主要渠道，“網(wǎng)頁掛馬”已經(jīng)成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過“掛馬”方式傳播。ARP欺騙、IM工具自動發(fā)送病毒鏈接等傳播手段，往往也通過網(wǎng)頁掛馬最終侵入用戶電腦。

免責(zé)聲明：

本報告綜合瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計，僅針對中國大陸地區(qū)2009年第一季度攔截的木馬網(wǎng)站數(shù)據(jù)進行統(tǒng)計、研究和分析。本報告提供給媒體、公眾和相關(guān)政府及行業(yè)機構(gòu)、廠商作為互聯(lián)網(wǎng)信息安全狀況的介紹和研究資料，請相關(guān)單位酌情使用，如若本報告闡述之狀況、數(shù)據(jù)與其它機構(gòu)研究結(jié)果有差異，請使用方自行辨別，瑞星公司不承擔(dān)與此相關(guān)的一切法律責(zé)任。#p#

一、2009年第一季度掛馬網(wǎng)站疫情概要

瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計表明，2009年第一季度截獲的掛馬網(wǎng)站（網(wǎng)頁數(shù)量）總數(shù)目為197676188個，平均每天截獲2196402個；掛馬網(wǎng)站攻擊總次數(shù)800412435次，平均每天遭遇攻擊次數(shù)達8893471；其中確定是大型網(wǎng)站被掛馬的“掛馬網(wǎng)站”總數(shù)為24202個，平均每天有268個大型網(wǎng)站被掛馬，2009-1-7當(dāng)天攔截的“掛馬網(wǎng)站”高達1011個。 

圖

圖

圖

#p#

二、2009年第一季度掛馬網(wǎng)站數(shù)據(jù)統(tǒng)計

1、掛馬網(wǎng)站截獲量統(tǒng)計

瑞星“云安全”數(shù)據(jù)中心2009年1月至3月的監(jiān)測數(shù)據(jù)，統(tǒng)計來自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動攔截的掛馬網(wǎng)站數(shù)量，截獲到的掛馬網(wǎng)站（以網(wǎng)頁個數(shù)統(tǒng)計）數(shù)目總計197676188個，攔截次數(shù)總計800412435次。

2、掛馬網(wǎng)站平均訪問人次的統(tǒng)計   

2009年1月1日至3月31日，瑞星“云安全”數(shù)據(jù)中心已攔截到800412435人次訪問掛馬網(wǎng)站，每天平均訪問人次達8893471次。也就是說，平均每天有889萬余人次網(wǎng)民訪問過惡意網(wǎng)頁。

3、木馬網(wǎng)站Top10排行   

圖

排行首位的木馬網(wǎng)站被攔截的次數(shù)867912次；第二名的木馬網(wǎng)站被攔截次數(shù)為86萬余次；第十名的攔截次數(shù)也達到61萬余次。

4、 木馬地址攔截量統(tǒng)計

“木馬地址”是指可以直接下載木馬病毒的URL網(wǎng)址，從瑞星“云安全”數(shù)據(jù)中心第一季度統(tǒng)計看，被攔截的木馬地址數(shù)目為398966個，去掉重復(fù)地址后的數(shù)目是10947個，攔截次數(shù)共20394247次。  

圖

5、木馬地址Top10排行（十大木馬排行） 

圖

排名第一的木馬地址被攔截次數(shù)達到144萬余次，前三位的木馬地址攔截次數(shù)均超過111萬次，第十名的木馬地址攔截次數(shù)也達到58萬次。#p#

6、木馬網(wǎng)站域名的類型統(tǒng)計  

瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明，2009年第一季度被攔截的木馬網(wǎng)站域名類型排行如下圖，排名第一是【.cn】，攔截量竟然高達151077922，前五名中排名緊隨其后的域名依次為【.com】、【.org】、【.net】、【.com.cn】。由此可見，這幾個域名都是黑客們最熱衷“光顧”的。 

圖

7、掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計

瑞星“云安全”數(shù)據(jù)中心還記錄了訪問掛馬網(wǎng)站的進程，以及利用不安全進程訪問的掛馬網(wǎng)站數(shù)量。從下圖可以看出，使用瀏覽器訪問掛馬網(wǎng)站的數(shù)量最多，IE名列第一，騰訊TT和遨游緊隨其后。另外，還有其他應(yīng)用程序進程，如KuGoo.exe等。

注：非瀏覽器軟件被掛馬，往往是因為其中內(nèi)嵌的IE網(wǎng)頁被植入木馬。例如酷狗、極品時刻表等。 

圖

8、惡意網(wǎng)站地區(qū)分布數(shù)量統(tǒng)計

2009年1月～3月惡意網(wǎng)站地區(qū)分布比例統(tǒng)計如下圖，本數(shù)據(jù)顯示惡意網(wǎng)站服務(wù)器實際存在的地理位置，以IP地址為準(zhǔn)。通常情況下，多個木馬網(wǎng)站URL會存在于同一IP地址，因此該數(shù)據(jù)的量級會遠(yuǎn)遠(yuǎn)小于實際的木馬網(wǎng)站數(shù)量。

注：本圖數(shù)據(jù)包含了釣魚網(wǎng)站、詐騙網(wǎng)站、木馬網(wǎng)站的總體數(shù)據(jù)，因此稱為“惡意網(wǎng)站地區(qū)分布”。 

圖

9、各個地區(qū)受惡意網(wǎng)站影響度排行

在各省疫情方面，廣東省以8％的數(shù)量領(lǐng)先，北京、湖南、江蘇、山東等省市緊隨其后。從統(tǒng)計數(shù)據(jù)來看，各省網(wǎng)民受惡意網(wǎng)木馬網(wǎng)站幾乎沒有差距，上網(wǎng)計算機保有量是疫情地區(qū)差別最重要的原因。 

圖

#p#

三、掛馬網(wǎng)站案例分析

1、掛馬網(wǎng)站增長的因素

近幾年，基于掛馬的的惡意網(wǎng)站增長有很多因素，一是現(xiàn)有主流瀏覽器及其插件存在大量漏洞，二是應(yīng)用軟件安全漏洞層出不窮，如：Realplay 播放器漏洞、聯(lián)眾世界漏洞、暴風(fēng)影音漏洞等。同時，針對漏洞出現(xiàn)的攻擊程序、代碼也呈現(xiàn)出目的性強、時效性高的趨勢。

瑞星“云安全”系統(tǒng)監(jiān)測發(fā)現(xiàn)，一旦出現(xiàn)微軟漏洞，很快會被惡意攻擊者廣泛采用來進行網(wǎng)頁掛馬活動。2月20日，瑞星公司發(fā)出2009年度第一個紅色（一級）安全警報，因為針對IE7新漏洞（MS09--002）的病毒攻擊代碼在網(wǎng)上公布，導(dǎo)致利用該漏洞的新木馬病毒大量出現(xiàn)。從瑞星“云安全”數(shù)據(jù)中心統(tǒng)計看，該漏洞補丁發(fā)布日期前后的一段時間，惡意掛馬網(wǎng)站的數(shù)目以及攔截次數(shù)均有不同程度的漲幅。 

圖

圖

由于該類木馬病毒的暴增，根據(jù)瑞星“云安全”系統(tǒng)的統(tǒng)計，僅在2月19日就截獲了高達866萬人次的掛馬網(wǎng)站攻擊，比前一天增加了一倍。從瑞星“惡意網(wǎng)站監(jiān)測網(wǎng)（http://mwm.rising.com.cn/）”上可以看到，利用該漏洞的掛馬網(wǎng)站攔截量直線上升，已升為當(dāng)時危害最嚴(yán)重的漏洞。

圖

微軟公司3月20日向所有開放Internet Explorer 8（簡稱IE8）免費下載，雖然微軟官方聲稱IE8給用戶上網(wǎng)提供了更簡化的操作和更安全的功能，但其安全性仍存在嚴(yán)重問題，用戶上網(wǎng)仍會被掛馬、釣魚網(wǎng)站所威脅。經(jīng)過瑞星安全專家測試，使用IE8瀏覽器過程中，目前互聯(lián)網(wǎng)上泛濫的掛馬網(wǎng)站和釣魚網(wǎng)站是無法有效攔截防御的。測試分別訪問了2009-taobao.com這個冒充淘寶網(wǎng)（正確網(wǎng)址www.taobao.com）的釣魚網(wǎng)站和http://www.fc5656.****s.htm掛馬網(wǎng)站均無法攔截。

2、掛馬網(wǎng)站壽命分析

“掛馬網(wǎng)站壽命”是指網(wǎng)站從開始被掛馬到掛馬被消除（或被攔截）的時間間隔。關(guān)于這個“壽命”的問題越來越值得重視，因為掛馬網(wǎng)站壽命越長，可能傳播及受害面就越廣，受到安全威脅的用戶數(shù)量就越多。瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明，截獲次數(shù)最多的前十名掛馬網(wǎng)站短的1天，最長的壽命是5天。掛馬網(wǎng)站壽命終結(jié)的原因可能有幾種：一是該網(wǎng)頁被具有防掛馬功能的安全軟件攔截；二是該網(wǎng)頁的惡意代碼被網(wǎng)站管理員清除；三是黑客自己撤掉該網(wǎng)頁中的惡意代碼；四是該網(wǎng)頁已關(guān)閉無法訪問。

瑞星“云安全”數(shù)據(jù)中心統(tǒng)計數(shù)據(jù)還表明，“掛馬網(wǎng)站壽命”和受攻擊人次并不成正比，也就是說，壽命短的“掛馬網(wǎng)站”侵害用戶數(shù)量并不少。比如http://***.710sese.cn/***/ss.htm壽命僅短短的1天，期間就有2244051人次受到攻擊，被攔截次數(shù)的排名迅速躍居到第一位。

參加瑞星“云安全”計劃，可以縮短掛馬網(wǎng)站的壽命。瑞星“云安全”數(shù)據(jù)中心于2009年1月16日第一次監(jiān)控到木馬網(wǎng)站http://%%%%.706sese.cn，發(fā)現(xiàn)在一天之內(nèi)有1301018人次網(wǎng)民受到攻擊。監(jiān)控數(shù)據(jù)表明，它的壽命長達約兩個月，一直持續(xù)到3月11日。但是，對于加入“云安全”并及時升級瑞星軟件的用戶來說，這個網(wǎng)站的“壽命”僅為1天！原因是，由于瑞星迅速將其加入掛馬網(wǎng)站庫，基于“云安全”技術(shù)的瑞星全功能安全軟件和瑞星個人防火墻便可以自動攔截該掛馬網(wǎng)站。瑞星“云安全”數(shù)據(jù)中心統(tǒng)計表明，在這之后瑞星自動攔截該惡意網(wǎng)木馬網(wǎng)站高達4080776次，為廣大網(wǎng)民提供了強有力的安全防護。#p#

3、票務(wù)中國被黑客惡意掛馬

2009年1月21日，流行票務(wù)網(wǎng)站“票務(wù)中國（http://www.piaocn.com/）”被黑客惡意掛馬，網(wǎng)頁中被植入惡意代碼，代碼位于域名為http://####.706sese.cn的服務(wù)器上。用戶一旦訪問該網(wǎng)站訂票，就會被下載大量盜號木馬病毒，從而導(dǎo)致網(wǎng)游、網(wǎng)銀或QQ賬號密碼丟失。當(dāng)時，掛馬網(wǎng)站706sese已經(jīng)名列掛馬網(wǎng)站排行榜第一位，一周內(nèi)侵襲了144萬人次網(wǎng)民。  

圖

(票務(wù)中國被掛馬)

票務(wù)網(wǎng)站、電影下載網(wǎng)站已經(jīng)成為黑客掛馬的重災(zāi)區(qū)，占據(jù)了近期所有類型掛馬網(wǎng)站的80%以上。由于此類網(wǎng)站在節(jié)日期間的訪問量巨大，中毒用戶的數(shù)量將不在少數(shù)。

每當(dāng)國慶、元旦、春節(jié)、圣誕節(jié)這樣的大型節(jié)日臨近，網(wǎng)民們會通過網(wǎng)上訂票等方式豐富自己的節(jié)日生活，或通過互聯(lián)網(wǎng)查詢并購買回家的機票、查找自己感興趣的網(wǎng)游外掛，或下載喜歡的電影或游戲。黑客正是瞄準(zhǔn)了這個機會，通過惡意掛馬，使很多網(wǎng)民經(jīng)常訪問的網(wǎng)站被黑，最終使用戶電腦中毒，經(jīng)濟利益受損。

4、“獵殺者外掛”被掛馬

2009年3月2日，瑞星“云安全”系統(tǒng)截獲的數(shù)據(jù)表明，網(wǎng)游玩家中流行的“獵殺者外掛”程序被黑客掛馬，截至當(dāng)天17時為止，瑞星已攔截到59169人次網(wǎng)民訪問該帶毒網(wǎng)頁。 

圖

根據(jù)瑞星公司技術(shù)部門分析，被植入木馬的網(wǎng)頁為獵殺者外掛內(nèi)嵌的網(wǎng)頁，玩家在使用獵殺者外掛之后，會自動打開那個被掛馬的網(wǎng)頁。由于該外掛使用者眾多，因此訪問量非常大，在短短的時間之內(nèi)，才侵襲了如此多的玩家。

據(jù)了解，獵殺者外掛被植入的木馬地址為http://***.230it.cn/，該惡意網(wǎng)木馬網(wǎng)站當(dāng)日攔截的掛馬網(wǎng)站的22.91%。玩家一旦訪問了被掛馬的網(wǎng)頁，電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒，對玩家的利益造成嚴(yán)重影響。

5、“極品時刻表”被掛馬

2009年3月9日，瑞星“云安全”系統(tǒng)提供的數(shù)據(jù)表明，網(wǎng)民中流行的“極品時刻表”軟件被黑客掛馬，截至當(dāng)天19時為止，瑞星已攔截到66757人次網(wǎng)民遭到攻擊。極品時刻表內(nèi)嵌的網(wǎng)頁被黑客植入木馬，當(dāng)用戶使用該軟件查詢列車車次時，就會遭到攻擊。 

圖

（點擊“查詢”按鈕之后，該軟件自動打開的內(nèi)嵌廣告頁帶毒） 　　

被植入木馬的網(wǎng)頁為極品時刻表內(nèi)嵌的廣告網(wǎng)頁，用戶在使用“查詢”功能之后，該軟件會自動打開那個被掛馬的網(wǎng)頁。該網(wǎng)頁中使用了多個常用軟件的流行漏洞，如果用戶沒有做好相應(yīng)的防護，很容易中毒。 　　

據(jù)了解，極品時刻表被植入的木馬地址為http://***.6t65r.cn/，該惡意網(wǎng)木馬網(wǎng)站量在那幾天上升極快，可能黑客還把該網(wǎng)頁植入了其它常用網(wǎng)站或軟件當(dāng)中。玩家一旦中毒，電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒，從而帶來極大的安全風(fēng)險。#p#

6、酷狗兩次掛馬事件

從監(jiān)測數(shù)據(jù)看，酷狗在2009年2月25日曾被掛馬，當(dāng)天截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為337519，第二天2月26日為480800，那一次掛馬的“壽命”長達兩天，直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進程訪問掛馬網(wǎng)站數(shù)據(jù)量暴增，為724381，達到平時訪問量的30倍之多，那次掛馬持續(xù)了一天，3月15日被清除恢復(fù)正常，當(dāng)天顯示數(shù)量下降至18964。

以3月14日為例，最早在3月14日凌晨4點19分酷狗論壇上就有用戶反饋酷狗被掛馬，直至當(dāng)天中午11點47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站為的“壽命”越長，傳播和受害面就越廣。尤其是沒有安裝網(wǎng)頁木馬攔截功能的軟件的這部分用戶，絲毫察覺不到自己的計算機已遭到攻擊、入侵。一旦木馬病毒下載后自動運行，信息安全就受到嚴(yán)重威脅。 

圖

7、黑客網(wǎng)站明碼標(biāo)價 “買主”按臺數(shù)購買染毒電腦

2009年3月18日，瑞星通過“云安全”系統(tǒng)截獲一個黑客建立的染毒電腦銷售網(wǎng)站（http://121.***.127.73/），登陸這個網(wǎng)站，就可以看到他們總共控制了多少臺染毒電腦（或稱“肉雞”）、染毒電腦的IP地址等詳細(xì)數(shù)據(jù)。這是黑客用來向“客戶”銷售“肉雞”的網(wǎng)站，“客戶”可以選擇“肉雞”的IP地址，然后按照臺數(shù)和控制時間等等條件付款，獲得這些“肉雞”的控制權(quán)。    

從目前該網(wǎng)站的數(shù)據(jù)來看，該黑客至少已經(jīng)控制了34795臺電腦，并以每天150臺左右的速度增長。下圖中的“安裝總數(shù)量”就是黑客控制的染毒電腦臺數(shù)；下面的“最后30臺安裝者”中，可以看到染毒電腦的IP、中毒時間等數(shù)據(jù)。    

圖

所謂“肉雞”就是被黑客控制的電腦，黑客在這些電腦中植入木馬、后門等病毒，或者利用電腦的不安全設(shè)置（如管理員賬號密碼過于簡單、系統(tǒng)存在漏洞、未安裝殺毒軟件等）等條件，在用戶未察覺的狀況下遠(yuǎn)程控制這些電腦，進行各種非法操作，國內(nèi)非常著名的“灰鴿子”病毒就是典型的后門程序。    

圖

( 某“后門”程序控制端界面)#p#

四、惡意網(wǎng)站掛馬分析

1、利用各種漏洞

2009年第一季度，黑客對于漏洞的利用趨勢沒有明顯轉(zhuǎn)變，其主要用途仍然在網(wǎng)頁掛馬上，包括RealPlayer、迅雷、PPlive等流行軟件都出現(xiàn)過嚴(yán)重漏洞，被黑客利用傳播木馬。

由于目前流行的各種熱門網(wǎng)站、客戶端軟件和瀏覽器，都存在著眾多漏洞和安全薄弱點，使得用戶遭到攻擊的渠道暴增；而且，隨著黑客-病毒產(chǎn)業(yè)鏈臻于完善，支撐互聯(lián)網(wǎng)發(fā)展的多種商業(yè)模式都遭到了盜號木馬、木馬點擊器的侵襲，使得用戶對于網(wǎng)絡(luò)購物、網(wǎng)絡(luò)支付、網(wǎng)游產(chǎn)業(yè)的安全信心遭到打擊。

瑞星專家提醒說，現(xiàn)在的木馬病毒絕大多數(shù)通過漏洞傳播，而且多數(shù)木馬病毒運行時沒有明顯的異常特征，用戶很難及時發(fā)現(xiàn)自己已經(jīng)中毒。只要用戶電腦上的漏洞存在，訪問掛馬網(wǎng)站中毒的風(fēng)險就一直存在。即使安裝了殺毒軟件，也只能在病毒入侵時攔截，風(fēng)險比彌補漏洞之后會高許多倍。

2、針對合法信賴的網(wǎng)站

門戶網(wǎng)站、Web2.0以及搜索類網(wǎng)站代表了當(dāng)前網(wǎng)站的典型形式，同時也成為黑客們關(guān)注的焦點。借助這些網(wǎng)站龐大的數(shù)據(jù)庫、良好的信譽和對Web2.0應(yīng)用的有力支持，這些網(wǎng)站擁有高可信賴度和良好的信譽，為那些惡意程序的制造者創(chuàng)造了大量的機會。傳統(tǒng)上，網(wǎng)民們有如下錯誤觀念：只有不良網(wǎng)站才會帶毒、才會被掛馬，只要堅持良好的瀏覽習(xí)慣，就可以躲避盜號木馬的侵襲。統(tǒng)計數(shù)據(jù)表明，這樣的觀念已經(jīng)過時，那些所謂的“正常網(wǎng)站、大中型網(wǎng)站”正在整個木馬鏈條中發(fā)揮著越來越重要的作用。

瑞星公司的抽樣統(tǒng)計顯示，每天約有30%的網(wǎng)民上網(wǎng)時會遇到掛馬網(wǎng)站。這些掛馬網(wǎng)站中80%以上屬于管理不嚴(yán)的正規(guī)網(wǎng)站，其中包括新聞網(wǎng)站、網(wǎng)絡(luò)論壇、博客網(wǎng)站等。多個主流門戶網(wǎng)站首頁懸掛的廣告中被植入木馬病毒，用戶訪問這些網(wǎng)站就會中毒。顯而易見，越來越多的惡意攻擊源自合法可信賴的網(wǎng)站。

3、利用“肉雞”牟利

黑客利用“肉雞”一般有以下幾種方式：  

（1）黑客一旦控制了“肉雞”，就可以很方便地從該電腦中盜取用戶的隱私信息。如網(wǎng)銀、網(wǎng)游、聊天工具等軟件的賬號密碼，以及私人文檔、照片等；  

（2）控制攝像頭進行偷拍。很多游戲玩家和下載狂人的電腦經(jīng)常是24小時開機，如果攝像頭沒有拔掉，就會被黑客偷拍，進行網(wǎng)上公布、甚至敲詐勒索。  

（3）幫助某些流氓廠商提高安裝量或點擊率。黑客可以在“肉雞”中安裝大量的插件或流氓軟件，瘋狂點擊或彈出廣告，從廣告主那里收獲廣告費；  

（4）將“肉雞”直接出賣給從事盜號或其他非法目的的人；  

（5）黑客控制了一定數(shù)量的“肉雞”，同時自動刷新訪問某個網(wǎng)站，提升該網(wǎng)站的訪問量、造成網(wǎng)站癱瘓(DDos攻擊），或者使某個網(wǎng)站服務(wù)器、防火墻癱瘓，國內(nèi)很多游戲廠家曾經(jīng)就受到過這種攻擊，并被勒索。

此前央視3•15晚會上曝光的網(wǎng)上出售的個人信息，有很多就是通過這種途徑竊取來，掛馬網(wǎng)站已經(jīng)成為個人信息泄露的重要途徑之一。         

建議網(wǎng)民采取以下措施，讓電腦避免成為“肉雞”： 

設(shè)置復(fù)雜系統(tǒng)管理員密碼，通常建議設(shè)為8位以上數(shù)字、字母、符號的組合； 

關(guān)閉危險的端口（TCP137、445、3389和UDP135、139、445、）和沒有必要的服務(wù)； 

及時更新系統(tǒng)和第三方軟件的漏洞； 

安裝并及時升級殺毒軟件和防火墻； 

經(jīng)常檢查系統(tǒng)日志、服務(wù)、注冊表等相關(guān)項。

4、瑞星掛馬網(wǎng)站攔截功能

以“票務(wù)中國（http://www.piaocn.com/）”被黑客惡意掛馬為例，如果安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”，當(dāng)網(wǎng)民瀏覽掛馬網(wǎng)站時，瑞星2009會立即提示網(wǎng)頁存在惡意代碼，并顯示漏洞名稱，如下圖。   

圖

再以“極品時刻表”被掛馬為例，被植入木馬的網(wǎng)頁為極品時刻表內(nèi)嵌的廣告網(wǎng)頁，用戶點擊“查詢”按鈕之后，該軟件會自動打開那個被掛馬的網(wǎng)頁。安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會立即提示網(wǎng)頁存在惡意代碼，并顯示病毒名稱，如下圖。因為其獨有的“木馬入侵?jǐn)r截”功能可以攔截掛馬網(wǎng)站帶有的木馬。 

圖

“瑞星殺毒軟件2009”、“瑞星全功能安全軟件”產(chǎn)品都擁有掛馬網(wǎng)站攔截功能，可以自動攔截網(wǎng)頁中帶有的掛馬網(wǎng)站，在木馬進入用戶電腦之前即將其攔截。