【51CTO.com 綜合消息】根據(jù)瑞星“云安全”數(shù)據(jù)中心最新統(tǒng)計數(shù)據(jù)表明，2009年上半年，瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達(dá)2.9億個，共有11.2億人次網(wǎng)民遭木馬攻擊，平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站；其中大型網(wǎng)站、流行軟件被掛馬的有35萬個（以域名計算），比去年同期有大幅度增長，但第二季度比第一季度有顯著下降。

瑞星“云安全”系統(tǒng)正式運(yùn)行1周年，瑞星殺毒軟件對掛馬網(wǎng)站進(jìn)行了有效的攔截，目前木馬病毒的增長勢頭被成功遏制，而傳統(tǒng)的“感染型病毒”逐漸抬頭，這這表明病毒制造團(tuán)伙在掛馬網(wǎng)站被封堵的情況下，只好回歸以往高成本的“感染性病毒”（編寫較為復(fù)雜、感染效率低）攻擊方式。

從瑞星“云安全”系統(tǒng)中心數(shù)據(jù)顯示 ：

1、由于黑客針對大型網(wǎng)站、流行軟件進(jìn)行掛馬，使得單個木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢，據(jù)統(tǒng)計上半年度排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過了145萬，排行第一的木馬感染了177萬人次的網(wǎng)民。

2、瑞星“云安全”系統(tǒng)已對色情、淫穢等網(wǎng)站進(jìn)行了有效的攔截和警告提示，但是有近65.5%的用戶，仍選擇點(diǎn)擊登錄，以滿足其好奇心。

3、從木馬網(wǎng)站域名類型的統(tǒng)計來看，CN域名是黑客掛馬最熱門的類型。上半年度，有67.8%的木馬網(wǎng)站使用CN域名，其后依次【.com】、【.org】、【.com.cn】、【.net】。

4、網(wǎng)民被掛馬網(wǎng)站攻擊成功時使用的軟件，主要是各種瀏覽器，以及內(nèi)嵌了網(wǎng)頁的流行軟件。從統(tǒng)計數(shù)據(jù)可以看出，IE瀏覽器在該項統(tǒng)計中名列第1，騰訊TT、遨游、世界之窗、360瀏覽器分列2至5位。

5、上半年1月至6月新增的惡意網(wǎng)址數(shù)量為71765942個，平均每個月新增的惡意網(wǎng)址數(shù)量為11960990個。

6、北京、廣東、浙江是木馬網(wǎng)站數(shù)量最多的三個省，有35%的木馬網(wǎng)站服務(wù)器位于北京市。而廣東、北京、湖南是受網(wǎng)民受木馬影響最為嚴(yán)重的省，網(wǎng)民數(shù)量越多的省受影響越嚴(yán)重。

根據(jù)以上瑞星公司的統(tǒng)計研究表明，目前的互聯(lián)網(wǎng)非常脆弱，各種熱點(diǎn)新聞、流行軟件、社交（SNS）網(wǎng)站、瀏覽器插件的漏洞層出不窮，為黑客提供了大量入侵和攻擊的機(jī)會。網(wǎng)頁取代網(wǎng)絡(luò)成為攻擊活動的主要渠道，“掛馬網(wǎng)頁”已經(jīng)成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過“掛馬”方式傳播，這些幾乎都源于系統(tǒng)漏洞、后臺服務(wù)器存在不安全設(shè)置、網(wǎng)站實(shí)現(xiàn)代碼缺陷（如SQL注入、論壇代碼缺陷、跨站腳本等）、或網(wǎng)站提供Web服務(wù)的程序漏洞、IIS漏洞、Apache漏洞等隱患，給黑客可乘之機(jī)；其中訪問量越大的網(wǎng)站越有被掛馬的可能，因?yàn)榇祟惥W(wǎng)站被黑客關(guān)注程度較高；另外就是政府機(jī)關(guān)網(wǎng)站、各大中型企業(yè)網(wǎng)站，由于專業(yè)性技術(shù)人員缺乏，網(wǎng)站大多由第三方公司外包開發(fā)，存在缺陷較多，也最容易被掛馬

免責(zé)聲明：

本報告綜合瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計，僅針對中國大陸地區(qū)2009年上半年度攔截的木馬網(wǎng)站數(shù)據(jù)進(jìn)行統(tǒng)計、研究和分析。本報告提供給媒體、公眾和相關(guān)政府及行業(yè)機(jī)構(gòu)、廠商作為互聯(lián)網(wǎng)信息安全狀況的介紹和研究資料，請相關(guān)單位酌情使用，如若本報告闡述之狀況、數(shù)據(jù)與其它機(jī)構(gòu)研究結(jié)果有差異，請使用方自行辨別，瑞星公司不承擔(dān)與此相關(guān)的一切法律責(zé)任。#p#

一、2009年上半年度掛馬網(wǎng)站疫情概要

瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計表明，2009年上半年度截獲的掛馬網(wǎng)站（網(wǎng)頁數(shù)量）總數(shù)目為2.9億個，平均每天截獲162萬個；掛馬網(wǎng)站攻擊總次數(shù)11.2億次，平均每天遭遇攻擊次數(shù)達(dá)622萬次；其中確定是網(wǎng)站被掛馬的“掛馬網(wǎng)站”總數(shù)為351138個，平均每天有1951個網(wǎng)站被掛馬，2009年上半年第2周攔截的“掛馬網(wǎng)站”高達(dá)19383個，平均每天2769個。 

圖1

圖2

圖3

通過以上數(shù)據(jù)顯示我們不難看出，09年6月份截獲木馬網(wǎng)站數(shù)量和掛馬網(wǎng)站攻擊次數(shù)有明顯減少，網(wǎng)絡(luò)安全狀況逐漸平穩(wěn)。但瑞星專家提示您，隨著暑期臨近，不少學(xué)生用戶網(wǎng)游娛樂和旅游休閑的頻次大幅上升，網(wǎng)游相關(guān)下載、旅游網(wǎng)站訪問和數(shù)碼相機(jī)等存儲介質(zhì)的使用，給遠(yuǎn)程控制木馬的傳播提供了可乘之機(jī)。隨著瑞星“云安全”系統(tǒng)正式運(yùn)行1周年，對掛馬網(wǎng)站和木馬病毒進(jìn)行了有效的攔截，目前木馬病毒的增長勢頭被成功遏制，而傳統(tǒng)的“感染型病毒”逐漸抬頭，這表明病毒制造團(tuán)伙在掛馬網(wǎng)站被封堵的情況下，為了保障其利益，只好回歸以往高成本的“感染性病毒”（編寫較為復(fù)雜、感染效率低）攻擊方式。#p#

二、2009年上半年度掛馬網(wǎng)站數(shù)據(jù)統(tǒng)計

1、掛馬網(wǎng)站截獲量統(tǒng)計

瑞星“云安全”數(shù)據(jù)中心2009年上半年的監(jiān)測數(shù)據(jù)，統(tǒng)計來自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動攔截的掛馬網(wǎng)站數(shù)量，截獲到的掛馬網(wǎng)站（以網(wǎng)頁個數(shù)統(tǒng)計）數(shù)目總計292161979個，攔截次數(shù)總計1119827619次。

2、掛馬網(wǎng)站平均訪問人次的統(tǒng)計

2009年上半年，瑞星“云安全”數(shù)據(jù)中心已攔截到1119827619人次訪問掛馬網(wǎng)站，每天平均訪問人次達(dá)6221264次。也就是說，平均每天有622萬余人次網(wǎng)民訪問過惡意網(wǎng)頁。

3、每月新增的惡意網(wǎng)址數(shù)據(jù)統(tǒng)計

據(jù)瑞星“云安全”數(shù)據(jù)中心2009年上半年數(shù)據(jù)顯示，1月-6月新增的惡意網(wǎng)址數(shù)量為71765942個，平均每個月新增的惡意網(wǎng)址數(shù)量為11960990個，也就是說每天平均新增被掛馬url數(shù)量為398699個。 

圖4

4、木馬網(wǎng)站Top10排行 

圖5

排行首位的木馬網(wǎng)站被攔截的次數(shù)70萬次；第二名的木馬網(wǎng)站被攔截次數(shù)為51萬余次；第十名的攔截次數(shù)也達(dá)到27萬余次。

5、 木馬地址攔截量統(tǒng)計

“木馬地址”是指可以直接下載木馬病毒的URL網(wǎng)址，從瑞星“云安全”數(shù)據(jù)中心上半年統(tǒng)計看，被攔截的木馬地址數(shù)目為1196092個，去掉重復(fù)地址后的數(shù)目是26832個，攔截次數(shù)共56143839次。其中6月份被攔截木馬地址數(shù)量為3601935次，比5月份有明顯下降，網(wǎng)絡(luò)安全狀況趨于平穩(wěn)狀態(tài)。

圖6

6、木馬地址Top10排行（十大木馬排行） 

圖7

排名第一的木馬地址Worm.Win32.Autorun.eyr(病毒下載器)被攔截次數(shù)達(dá)到177萬余次，前三位的木馬地址攔截次數(shù)均超過145萬次，第十名的木馬地址攔截次數(shù)也達(dá)到97萬次。

7、新型感染型病毒截獲量數(shù)據(jù)

從今年3月份開始，“云安全”系統(tǒng)截獲的掛馬網(wǎng)站、盜號木馬樣本數(shù)量呈明顯下降趨勢。隨著“云安全”系統(tǒng)的順利運(yùn)行，黑色產(chǎn)業(yè)鏈中的主要傳播途徑—“網(wǎng)站掛馬”受到嚴(yán)重打擊，用戶通過“掛馬網(wǎng)站”直接感染木馬病毒的機(jī)會大大減少，制作成本較低的木馬病毒也在逐漸下降。

黑客為保證自己的獲得穩(wěn)定的經(jīng)濟(jì)利益，不得不重新采用新型感染性病毒。據(jù)統(tǒng)計，2009年1月份受感染型病毒侵襲的網(wǎng)民為106萬，而6月份則達(dá)到了395萬，上升了近4倍。相對掛馬網(wǎng)站低廉的“成本”相比，感染型病毒要求的技術(shù)門檻很高，編寫難度較大，其傳播效率也大大低于掛馬網(wǎng)站傳播的木馬病毒。 

圖8

8、用戶主動上報惡意網(wǎng)址數(shù)據(jù)統(tǒng)計

瑞星公司客服中心數(shù)據(jù)顯示，2009年上半年用戶通過撥打電話、發(fā)送email、論壇提交等方式主動上報的惡意網(wǎng)址總量為12460個（其中電話902個、郵件105個、論壇11032個、其它421個），占瑞星“云安全”系統(tǒng)攔截惡意網(wǎng)址總數(shù)的千萬分之一。 

圖9

我們仔細(xì)想一下，如果目前沒有瑞星“云安全”系統(tǒng)對掛馬網(wǎng)站的的攔截功能，黑客團(tuán)體就會利用上億個未被攔截的掛馬網(wǎng)站瘋狂的在網(wǎng)絡(luò)中傳播木馬病毒，控制大量的“肉雞”群體，讓這些“肉雞”自動刷新訪問某個網(wǎng)站，提升該網(wǎng)站的訪問量、造成網(wǎng)站癱瘓或者使某個網(wǎng)站服務(wù)器、防火墻癱瘓，為黑客團(tuán)伙牟取更多的經(jīng)濟(jì)利益，也因此大大的威脅了用戶的自身隱私和財產(chǎn)安全。

9、木馬網(wǎng)站域名的類型統(tǒng)計

瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明，2009年上半年被攔截的木馬網(wǎng)站域名類型排行如下圖，排名第一是【.cn】，攔截量達(dá)10402029次，有67.8%的木馬網(wǎng)站使用CN域名，前五名中排名緊隨其后的域名依次為【.com】、【.org】、【.com.cn】、【.net】。 

圖10

10、掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計

2009年上半年，瑞星“云安全”數(shù)據(jù)中心還記錄了訪問掛馬網(wǎng)站的進(jìn)程，以及利用不安全進(jìn)程訪問的掛馬網(wǎng)站數(shù)量。從下圖可以看出，使用瀏覽器訪問掛馬網(wǎng)站的數(shù)量最多，IE名列第一，騰訊TT和遨游緊隨其后。 

圖11

11、惡意網(wǎng)站地區(qū)分布數(shù)量統(tǒng)計

2009年上半年度惡意網(wǎng)站地區(qū)分布比例統(tǒng)計如下圖，本數(shù)據(jù)顯示惡意網(wǎng)站服務(wù)器實(shí)際存在的地理位置，以IP地址為準(zhǔn)。通常情況下，多個木馬網(wǎng)站URL會存在于同一IP地址，因此該數(shù)據(jù)的量級會遠(yuǎn)遠(yuǎn)小于實(shí)際的木馬網(wǎng)站數(shù)量。 

圖12

12、各個地區(qū)受惡意網(wǎng)站影響度排行

2009年上半年，在各省疫情方面，廣東省以8％的數(shù)量領(lǐng)先，北京、山東、湖南、江蘇等省市緊隨其后。從瑞星“云安全”統(tǒng)計數(shù)據(jù)來看，各省網(wǎng)民受惡意網(wǎng)木馬網(wǎng)站幾乎沒有差距，上網(wǎng)計算機(jī)保有量是疫情地區(qū)差別最重要的原因。 

圖13

圖14

13、十大影響較大的被掛馬網(wǎng)站

榜單中的網(wǎng)站，均曾在1-6月遭到過病毒團(tuán)伙攻擊，并被掛上腳本木馬。從瑞星“云安全”中心數(shù)據(jù)記錄到的掛馬網(wǎng)站中，按知名度、訪問量人數(shù)，以及網(wǎng)站代表性進(jìn)行綜合評估，排出此榜單。 

圖15

#p#

三、2009年上半年度瑞星典型事件回顧 

1、“惡意網(wǎng)站監(jiān)測網(wǎng)”亮相?？藪祚R網(wǎng)站、釣魚網(wǎng)站等互聯(lián)網(wǎng)安全威脅

2009年1月8日，瑞星推出“惡意網(wǎng)站監(jiān)測網(wǎng)（http://mwm.rising.com.cn/）”，這是國內(nèi)首個專門針對掛馬網(wǎng)站、釣魚網(wǎng)站等互聯(lián)網(wǎng)威脅的實(shí)時監(jiān)測系統(tǒng)，所有政府機(jī)構(gòu)、企業(yè)和個人用戶都可以免費(fèi)瀏覽該網(wǎng)站，全面、清晰地了解國內(nèi)網(wǎng)站被黑客“掛馬”的情況。該網(wǎng)站通過對“云安全”系統(tǒng)采集的數(shù)據(jù)進(jìn)行分析和處理，每天公布掛馬網(wǎng)站排行榜、目前最危險的漏洞、掛馬網(wǎng)站在各區(qū)域的危害情況等信息，用戶可以根據(jù)這些信息，調(diào)整自己的安全防護(hù)措施。所有使用“瑞星2009”產(chǎn)品的用戶，訪問掛馬網(wǎng)站時都會被攔截，而掛馬網(wǎng)站的網(wǎng)址、下載木馬的URL地址等信息，則被上報到“云安全”系統(tǒng)，瑞星“惡意網(wǎng)站監(jiān)測網(wǎng)”對這些收集到的數(shù)據(jù)進(jìn)行分析匯總，從中可以發(fā)現(xiàn)掛馬網(wǎng)站的真正“源頭”。 

圖16

（6月18日，3199653人次網(wǎng)民訪問惡意網(wǎng)站，被“瑞星2009”攔截）

據(jù)瑞星“云安全“監(jiān)測數(shù)據(jù)顯示，6月18日當(dāng)天約有319萬網(wǎng)民訪問掛馬網(wǎng)站，6月9日互聯(lián)網(wǎng)上共有42萬個網(wǎng)頁帶有木馬活動，118萬人次網(wǎng)民遭受攻擊，被瑞星2009攔截?！叭鹦?009”的“木馬入侵?jǐn)r截——網(wǎng)站攔截”功能會自動攔截這些掛馬網(wǎng)站，加入瑞星云安全計劃的用戶不會中毒。而沒有加入瑞星“云安全”計劃的網(wǎng)民，則可能被木馬侵入。目前流行的掛馬網(wǎng)站中通常會攜帶盜號木馬、木馬下載器等，如果成功侵入用戶電腦，則會竊取網(wǎng)游、網(wǎng)銀、QQ帳號等。

截至6月29日，惡意網(wǎng)站http://vpsvip.com和http://15hamei.3322.org在排行榜上位居前兩位，一周內(nèi)分別攻擊了154332人次和134307人次，都在了十萬次以上。瑞星安全專家表示，黑客往往會把同一個惡意網(wǎng)站的木馬網(wǎng)址，同時植入多個被攻陷的正常網(wǎng)站，例如http://vpsvip.com就被嵌入了多個流行網(wǎng)站、外掛網(wǎng)站，所以才能有如此大量的受害用戶。

圖17

（   截至6月28日惡意網(wǎng)站top5排行榜，以一個星期為間隔）

惡意網(wǎng)站監(jiān)測網(wǎng)收集的惡意網(wǎng)址等信息，會加入到瑞星全功能安全軟件2009，將90%以上的木馬病毒攔截在電腦之外。

2、瑞星成為微軟MAPP合作伙伴 ，瑞星用戶可第一時間獲得保護(hù)。

2009年5月，瑞星公司和微軟公司達(dá)成協(xié)議，成為微軟MAPP安全軟件合作伙伴。自即日起，瑞星可以在微軟發(fā)布月度安全更新之前，提前獲取漏洞的相關(guān)信息，并可以第一時間升級瑞星漏洞特征庫。這意味著，瑞星的用戶可以有效提高防范新木馬病毒和黑客攻擊的能力。 微軟MAPP計劃全稱為Microsoft Active Protections Program，該計劃的目的是為了整合全球安全方面的資源，經(jīng)過嚴(yán)格考核的頂級安全廠商，可以提早獲取微軟漏洞的相關(guān)信息，IBM、思科都是加入該計劃的早期成員。瑞星是國內(nèi)安全軟件領(lǐng)域中最早的成員。 以前，微軟發(fā)布漏洞補(bǔ)丁程序之后，用戶可以利用微軟提供的Windows 更新等手段進(jìn)行安全更新，與此同時，安全廠商對補(bǔ)丁程序進(jìn)行分析，并把下載地址更新到其安全軟件中，并下載安裝，而黑客和病毒病毒制造者會充分利用這段從發(fā)現(xiàn)安全威脅到用戶還未進(jìn)行更新的“黃金時間”，大肆進(jìn)行網(wǎng)站掛馬和病毒傳播。如果安全廠商提前獲得相關(guān)漏洞的信息，即有可能更及時的提供經(jīng)過更新的安全軟件或設(shè)備，更有效地防范這些木馬或病毒。

3、瑞星“云安全”嵌入網(wǎng)游 ，阻擊反盜號木馬。 

“游戲帳號怎么才能不被盜用？“裝備怎么老丟？”網(wǎng)游盜號，這一與網(wǎng)游私服和外掛并列為網(wǎng)絡(luò)犯罪打擊重要的違法行為，正在大肆蠶食著網(wǎng)游玩家的心血，更為許多網(wǎng)民的網(wǎng)絡(luò)安全帶來隱患。

2009年6月25日，搜狐暢游與瑞星公司達(dá)成深度合作協(xié)議，搜狐暢游將在旗下網(wǎng)游《天龍八部》安裝包中集成瑞星“云安全”客戶端。這不僅是網(wǎng)絡(luò)游戲首次嵌入“云安全”客戶端，也是搜狐暢游和瑞星公司為保護(hù)玩家賬號安全，提供的最新一項重要舉措！  屆時，木馬病毒侵入安裝《天龍八部》的電腦，就會被上報到“云安全”服務(wù)器，服務(wù)器最短時間內(nèi)返回結(jié)果，用戶可對病毒進(jìn)行查殺，這將有效防止網(wǎng)游玩家賬號被盜、游戲運(yùn)行異常等情況。據(jù)介紹，瑞星的“云安全”客戶端本身兼容性好，控件在500K以內(nèi)，不與游戲搶電腦資源，具備優(yōu)先處理病毒的樣本，無需用戶介入，自動識別病毒木馬等特點(diǎn)。#p#

四、2009年上半年度掛馬網(wǎng)站案例分析

1、酷狗被黑客惡意掛馬

2009年2月25日，瑞星“云安全”監(jiān)測數(shù)據(jù)表明，酷狗被掛馬，當(dāng)天截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為337519，第二天2月26日為480800，那一次掛馬的“壽命”長達(dá)兩天，直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進(jìn)程訪問掛馬網(wǎng)站數(shù)據(jù)量暴增，為724381，達(dá)到平時訪問量的30倍之多，那次掛馬持續(xù)了一天，3月15日被清除恢復(fù)正常，當(dāng)天顯示數(shù)量下降至18964。

以3月14日為例，最早在3月14日凌晨4點(diǎn)19分酷狗論壇上就有用戶反饋酷狗被掛馬，直至當(dāng)天中午11點(diǎn)47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站為的“壽命”越長，傳播和受害面就越廣。尤其是沒有安裝網(wǎng)頁木馬攔截功能的軟件的這部分用戶，絲毫察覺不到自己的計算機(jī)已遭到攻擊、入侵。一旦木馬病毒下載后自動運(yùn)行，信息安全就受到嚴(yán)重威脅。

截止到6月29日，“云安全”數(shù)據(jù)中心顯示，酷狗網(wǎng)站在5月7日和6月9日仍有小范圍的被掛馬行為。（5月7日截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為27379，6月9日為9552） 

圖18

圖19

2、“極品時刻表”被黑客惡意掛馬

2009年3月9日，瑞星“云安全”系統(tǒng)提供的數(shù)據(jù)表明，網(wǎng)民中流行的“極品時刻表”軟件被黑客掛馬，截至當(dāng)天19時為止，瑞星已攔截到66757人次網(wǎng)民遭到攻擊。極品時刻表內(nèi)嵌的網(wǎng)頁被黑客植入木馬，當(dāng)用戶使用該軟件查詢列車車次時，就會遭到攻擊。 

圖20

（點(diǎn)擊“查詢”按鈕之后，該軟件自動打開的內(nèi)嵌廣告頁帶毒） 　　

被植入木馬的網(wǎng)頁為極品時刻表內(nèi)嵌的廣告網(wǎng)頁，用戶在使用“查詢”功能之后，該軟件會自動打開那個被掛馬的網(wǎng)頁。該網(wǎng)頁中使用了多個常用軟件的流行漏洞，如果用戶沒有做好相應(yīng)的防護(hù)，很容易中毒。 　　

據(jù)了解，極品時刻表被植入的木馬地址為http://***.6t65r.cn/，該惡意網(wǎng)木馬網(wǎng)站量在那幾天上升極快，可能黑客還把該網(wǎng)頁植入了其它常用網(wǎng)站或軟件當(dāng)中。玩家一旦中毒，電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒，從而帶來極大的安全風(fēng)險。

3、博客房產(chǎn)網(wǎng)站被掛馬 導(dǎo)致大量用戶中毒

2009年4月，據(jù)瑞星“云安全”系統(tǒng)統(tǒng)計，本月瑞星共截獲了15432616個木馬網(wǎng)址，4月24-4.26日共有6,438,943人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊，瑞星共截獲了1,847,811個掛馬網(wǎng)址。僅4月24日當(dāng)天就有2,325,7762人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊，瑞星截獲了681,393個掛馬網(wǎng)址。其中博客、房地產(chǎn)、招聘、學(xué)校類網(wǎng)站被掛馬次數(shù)頻繁： 

圖21

4、美女艷照引來網(wǎng)絡(luò)掛馬狂潮

2009年5月， “海運(yùn)女艷照”成為網(wǎng)民關(guān)注的焦點(diǎn)，黑客利用此焦點(diǎn)事件傳毒的事件有增多的趨勢，據(jù)“云安全”中心數(shù)據(jù)顯示， 5月14日就有近百個相關(guān)帶毒論壇、網(wǎng)站被截獲，其中植入的木馬絕大部分會竊取網(wǎng)游帳號、下載其它惡意程序等。 

圖22

據(jù)瑞星技術(shù)部門分析，黑客主要采用三種方式傳播病毒：建立帶毒網(wǎng)站，然后把網(wǎng)站地址通過QQ、論壇等方式轉(zhuǎn)貼，吸引用戶瀏覽，瀏覽后就會中毒；把艷照圖片跟病毒打包在一起，在論壇發(fā)帖稱“我有最全艷照合集”，讓網(wǎng)民留下郵箱，然后把帶毒圖片包發(fā)到網(wǎng)民郵箱里，網(wǎng)民打開瀏覽時就會中毒，還有的直接把木馬病毒偽裝成圖片的模樣，用戶瀏覽時就會中毒。

目前，幾大搜索引擎的貼吧里，有關(guān)海運(yùn)女的帖子已經(jīng)有數(shù)萬個，其中絕大多數(shù)是讓網(wǎng)民留下郵箱，發(fā)送圖片包的。還有的黑客趁機(jī)在熱門帖子后面跟帖，留下帶毒網(wǎng)站的鏈接，誘騙網(wǎng)民上當(dāng)。

5、微軟DirectShow爆嚴(yán)重漏洞，黑客利用該漏洞掛馬

2009年6月，微軟公司向MAPP伙伴公布其DirectShow軟件中存在的一個嚴(yán)重漏洞，利用該漏洞的掛馬網(wǎng)站已經(jīng)在互聯(lián)網(wǎng)上出現(xiàn)，用戶瀏覽這些網(wǎng)站后就會中毒。作為中國大陸地區(qū)的MAPP合作伙伴，瑞星公司在收到微軟提供的相關(guān)技術(shù)資料后，針對此漏洞進(jìn)行了緊急分析，并通過“云安全”系統(tǒng)成功截獲了利用該漏洞的掛馬網(wǎng)站。

據(jù)了解，微軟DirectShow漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時，可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。攻擊者可隨意查看、更改或刪除數(shù)據(jù)或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻擊，Windows Vista和 Windows Server 2008的所有版本不容易受影響。 

圖23

6、PDF網(wǎng)馬成為國內(nèi)近期較為流行的掛馬趨勢

在以往的網(wǎng)馬解密分析中，惡意網(wǎng)址利用pdf漏洞網(wǎng)馬寥寥無幾。偶爾零星的也是在國外網(wǎng)馬分析中有pdf網(wǎng)馬身影。但是根據(jù)近期針對國內(nèi)網(wǎng)馬分析，發(fā)現(xiàn)了多起pdf網(wǎng)馬身影。

根據(jù)6月份的瑞星每日安全播報分析的惡意網(wǎng)址來看，像類似http://2.hffangchan.com（合肥房產(chǎn)網(wǎng)）、http://bbs.skyhu.com（火狐游戲網(wǎng)）、http://www.china228.com/（好得網(wǎng)）等被掛馬網(wǎng)站，在所掛惡意鏈接中均有pdf網(wǎng)馬，以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等兩個鏈接出現(xiàn)頻率最高，且出現(xiàn)有一個pdf網(wǎng)馬，使用網(wǎng)馬解密工具分析，出現(xiàn)截然兩種不同的網(wǎng)馬下載地址，使用相關(guān)的下載工具驗(yàn)證下載，解密出網(wǎng)馬地址均為真實(shí)有效的可以下載的地址。雖然這個漏洞大概在2008年左右出現(xiàn)，也是在近期分析國內(nèi)所掛惡意鏈接地址中，出現(xiàn)pdf網(wǎng)馬。這也充分說明了pdf網(wǎng)馬應(yīng)該會在2009年下半年國內(nèi)網(wǎng)頁掛馬中，增加黑客牟利成功的砝碼。

7、微軟最新視頻控件漏洞導(dǎo)致木馬爆發(fā)

7月7日，瑞星公司發(fā)布橙色安全警報，微軟視頻控件（Microsoft Video ActiveX Control）漏洞導(dǎo)致的掛馬網(wǎng)站攻擊大幅增加，7月5日凌晨瑞星“云安全”系統(tǒng)首次監(jiān)控到利用該漏洞的攻擊代碼出現(xiàn)，隨后的5日6日短短兩天內(nèi)，監(jiān)測到130萬用戶遭到利用該漏洞的攻擊。

瑞星安全專家分析，產(chǎn)生漏洞的原因是用戶系統(tǒng)中的msvidctl.dll組件不正確讀取持久化的字節(jié)數(shù)組，攻擊者可隨意覆蓋SEH或者RET，將EIP 設(shè)置成任意數(shù)值，結(jié)合javascript堆噴射方式可遠(yuǎn)程執(zhí)行任意代碼，黑客不必讓用戶運(yùn)行被惡意修改的視頻文件就可以進(jìn)行掛馬攻擊。用戶一旦訪問被掛馬的網(wǎng)站后，就會自動觸發(fā)MPEG-2視頻組件的msvidctl.dll組件，然后運(yùn)行黑客植入的網(wǎng)頁木馬，最終下載大量盜號木馬病毒，導(dǎo)致用戶電腦系統(tǒng)異常甚至藍(lán)屏，并盜取用戶網(wǎng)游賬號密碼等個人信息。 

圖24

8、微軟Office漏洞導(dǎo)致大量掛馬網(wǎng)站

7月13日，繼微軟視頻控件漏洞出現(xiàn)之后，微軟Office網(wǎng)絡(luò)組件遠(yuǎn)程控制漏洞被黑客利用，進(jìn)行掛馬攻擊。根據(jù)瑞星“云安全”系統(tǒng)監(jiān)測，5日內(nèi)已有133余萬臺電腦遭攻擊。北京時間14日凌晨，微軟已經(jīng)發(fā)布了針對該漏洞的通告。

該漏洞危害全系列Windows系統(tǒng)，黑客可利用該漏洞來構(gòu)建掛馬網(wǎng)站，用戶訪問這些網(wǎng)站后即會被感染，植入木馬下載器、盜號木馬等惡意程序。目前該漏洞沒有官方補(bǔ)丁，瑞星殺毒軟件2009、瑞星全功能安全軟件2009中的獨(dú)有“網(wǎng)頁防掛馬”模塊，采用“網(wǎng)頁腳本行為分析技術(shù)”，無需補(bǔ)丁即可有效攔截利用該漏洞的掛馬網(wǎng)站。 

圖25

#p#

五、2009年上半年度惡意網(wǎng)站掛馬分析

1、利用各種漏洞掛馬

2009年上半年，黑客對于漏洞的利用趨勢沒有明顯轉(zhuǎn)變，其主要用途仍然在網(wǎng)頁掛馬上，如：Realplay 播放器漏洞、聯(lián)眾世界漏洞、暴風(fēng)影音漏洞等。同時，針對漏洞出現(xiàn)的攻擊程序、代碼也呈現(xiàn)出目的性強(qiáng)、時效性高的趨勢。由于目前流行的各種熱門網(wǎng)站、客戶端軟件和瀏覽器，都存在著眾多漏洞和安全薄弱點(diǎn)，使得用戶遭到攻擊的渠道暴增；而且，隨著黑客-病毒產(chǎn)業(yè)鏈臻于完善，支撐互聯(lián)網(wǎng)發(fā)展的多種商業(yè)模式都遭到了盜號木馬、木馬點(diǎn)擊器的侵襲，使得用戶對于網(wǎng)絡(luò)購物、網(wǎng)絡(luò)支付、網(wǎng)游產(chǎn)業(yè)的安全信心遭到打擊。

瑞星“云安全”系統(tǒng)監(jiān)測發(fā)現(xiàn)，一旦出現(xiàn)微軟漏洞，很快會被惡意攻擊者廣泛采用來進(jìn)行網(wǎng)頁掛馬活動:

2009年2月，瑞星公司發(fā)出第一個紅色（一級）安全警報，因?yàn)獒槍E7新漏洞（MS09--002）的病毒攻擊代碼在網(wǎng)上公布，導(dǎo)致利用該漏洞的新木馬病毒大量出現(xiàn)。從瑞星“云安全”數(shù)據(jù)中心統(tǒng)計看，該漏洞補(bǔ)丁發(fā)布日期前后的一段時間，惡意掛馬網(wǎng)站的數(shù)目以及攔截次數(shù)均有不同程度的漲幅。僅在2月19日就截獲了高達(dá)866萬人次的掛馬網(wǎng)站攻擊，比前一天增加了一倍之多。

2009年6月，微軟DirectShow爆嚴(yán)重漏洞，黑客利用熱門視頻傳播木馬已成為慣用伎倆，而對“DirectShow視頻開發(fā)包”漏洞的利用則是在視頻播放時下載木馬，而視頻文件本身并不需要捆綁木馬，因此可以避開殺毒軟件和防火墻的防護(hù)，黑客可以通過在線播放“網(wǎng)頁掛馬”、 網(wǎng)友間視頻共享等多種途徑傳播木馬。該漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時，可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。攻擊者可隨意查看、更改或刪除數(shù)據(jù)或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

2、利用CSS掛馬

隨著Web2.0技術(shù)以及Blog、Wiki等廣泛的應(yīng)用，各種網(wǎng)頁特效用得越來越多，這也給黑客一個可乘之機(jī)。他們發(fā)現(xiàn)，用來制作網(wǎng)頁特效的CSS代碼，可以用來掛馬。而比較諷刺的是，CSS掛馬方式其實(shí)是從防范IFRAME掛馬的CSS代碼演變而來。CSS掛馬方式，可以說是Web2.0時代黑客的最愛。

在Web1.0時代，使用IFRAME掛馬對于黑客而言，與其說是為了更好地實(shí)現(xiàn)木馬的隱藏，倒不如說是無可奈何的一個選擇。在簡單的HTML網(wǎng)頁和缺乏交互性的網(wǎng)站中，黑客可以利用的手段也非常有限，即使采取了復(fù)雜的偽裝，也很容易被識破，還不如IFRAME來得直接和有效。

但如今交互式的Web2.0網(wǎng)站越來越多，允許用戶設(shè)置與修改的博客、SNS社區(qū)等紛紛出現(xiàn)。這些互動性非常強(qiáng)的社區(qū)和博客中，往往會提供豐富的功能，并且會允許用戶使用CSS層疊樣式表來對網(wǎng)站的網(wǎng)頁進(jìn)行自由的修改，這促使了CSS掛馬流行。

注意：CSS是層疊樣式表(Cascading Style Sheets)的英文縮寫。CSS最主要的目的是將文件的結(jié)構(gòu)(用HTML或其他相關(guān)語言寫的)與文件的顯示分隔開來。這個分隔可以讓文件的可讀性得到加強(qiáng)、文件的結(jié)構(gòu)更加靈活。

黑客在利用CSS掛馬時，往往是借著網(wǎng)民對某些大網(wǎng)站的信任，將CSS惡意代碼掛到博客或者其他支持CSS的網(wǎng)頁中，當(dāng)網(wǎng)民在訪問該網(wǎng)頁時惡意代碼就會執(zhí)行。這就如同你去一家知名且證照齊全的大醫(yī)院看病，你非常信任醫(yī)院，但是你所看的門診卻已經(jīng)被庸醫(yī)外包了下來，并且打著醫(yī)院的名義利用你的信任成功欺騙了你。但是當(dāng)你事后去找人算賬時，醫(yī)院此時也往往一臉無辜。

據(jù)瑞星“云安全”監(jiān)測系統(tǒng)顯示，每天約有30%的網(wǎng)民上網(wǎng)時會遇到掛馬網(wǎng)站。這些掛馬網(wǎng)站中80%以上屬于管理不嚴(yán)的正規(guī)網(wǎng)站，其中包括門戶網(wǎng)站、娛樂網(wǎng)站、市場經(jīng)濟(jì)形勢網(wǎng)站、網(wǎng)絡(luò)論壇、游戲網(wǎng)站等（如下圖），用戶訪問這些網(wǎng)站就會中毒。顯而易見，越來越多的惡意攻擊源自利用CSS掛馬的合法網(wǎng)站。

圖26

 3、利用“熱點(diǎn)信息”傳播牟利

瑞星“云安全”系統(tǒng)監(jiān)測發(fā)現(xiàn)，只要公眾關(guān)注某一話題，黑客就會“如影隨行”， 目的就是通過掛馬實(shí)現(xiàn)病毒感染、控制肉雞、盜號、提高網(wǎng)站點(diǎn)擊率等等以達(dá)到其最終的經(jīng)濟(jì)利益。 

（1）、杰克遜病逝新聞引網(wǎng)民關(guān)注 娛樂網(wǎng)站大量被“黑”

隨著《變形金剛2》的熱映與邁克爾•杰克遜病逝等事件成為廣大網(wǎng)民關(guān)注的熱點(diǎn)，大量網(wǎng)民訪問視頻網(wǎng)站收看預(yù)告片或追憶明星生前的經(jīng)典影音。這些視頻網(wǎng)站很快就被黑客瞄上了。更有甚者，一些木馬病毒還偽裝成殺毒軟件，欺騙用戶付費(fèi)。“殺軟偽造者木馬”Trojan.Win32.FakeAV.ri）就是其中之一。該病毒是一個假冒殺毒軟件的欺騙程序，病毒會把自身偽造成一個正常的殺毒軟件，在桌面和開始菜單生成快捷方式。無論用戶電腦是否有病毒，偽造的殺毒軟件都會提示掃描到病毒，騙用戶殺毒，使用戶更容易上當(dāng)注冊。當(dāng)用戶使用偽裝的“清除病毒功能”時，會連接指定網(wǎng)站進(jìn)行注冊并對指定網(wǎng)站進(jìn)行流量點(diǎn)擊。

（2）、黑客瞄準(zhǔn)購物網(wǎng)站，傳播盜號病毒

“網(wǎng)購“已成為時值人們最流行的購物方式，黑客也虎視眈眈的瞄準(zhǔn)了購物網(wǎng)站，瑞星“云安全”系統(tǒng)就從截獲的掛馬網(wǎng)站中發(fā)現(xiàn)，多家禮品購物網(wǎng)站被駭客惡意掛馬，E搜禮品網(wǎng)站幾乎每個網(wǎng)頁都被掛上了木馬病毒，用戶一旦點(diǎn)擊被掛馬的網(wǎng)頁就有可能被木馬入侵，而這些木馬病毒有90%以上都是盜號病毒，黑客通過獲取到的賬號，轉(zhuǎn)移用戶資金，嚴(yán)重威脅用戶網(wǎng)上銀行資金安全

4、網(wǎng)頁掛馬更具隱蔽性和智能化

通過對瑞星云安全攔截的惡意網(wǎng)址進(jìn)一步分析，發(fā)現(xiàn)惡意網(wǎng)址更加具有隱蔽性，一般惡意網(wǎng)址鏈接，最少通過3次跳轉(zhuǎn) ，最多也就7—8次跳轉(zhuǎn)，分析出最終網(wǎng)馬地址。而在近期網(wǎng)馬解密分析中，有出現(xiàn)惡意地址經(jīng)過多次跳轉(zhuǎn)，要經(jīng)過層層分析，最終才能解密出最終網(wǎng)馬地址。而這些都是源于系統(tǒng)漏洞、后臺服務(wù)器存在不安全設(shè)置、網(wǎng)站實(shí)現(xiàn)代碼缺陷（如SQL注入、論壇代碼缺陷、跨站腳本等）、或網(wǎng)站提供Web服務(wù)的程序漏洞、IIS漏洞、Apache漏洞等隱患，給黑客可乘之機(jī)；其中訪問量越大的網(wǎng)站越有被掛馬的可能，因?yàn)榇祟惥W(wǎng)站被黑客關(guān)注程度較高；另外政府機(jī)關(guān)網(wǎng)站、各大中型企業(yè)網(wǎng)站，由于專業(yè)性技術(shù)人員缺乏，網(wǎng)站大多由第三方公司外包開發(fā)，存在缺陷較多，也最容易被掛馬。

近期，對瑞星“云安全”截獲的惡意網(wǎng)址進(jìn)行分析，發(fā)現(xiàn)惡意鏈接為：“http://3b3.org/c.js”極為猖獗，分析其js腳本程序，其中有針對gov.cn、edu.cn這兩個域名判斷，如果是gov.cn和edu.cn就不嵌入掛馬網(wǎng)址，即對政府和教育類域名屏蔽掛馬網(wǎng)址，可見黑客團(tuán)伙的網(wǎng)頁掛馬技術(shù)已日趨智能化和產(chǎn)業(yè)化。 

圖27

5、瑞星掛馬網(wǎng)站攔截功能

以“海運(yùn)女艷照”被黑客惡意掛馬為例，黑客利用此焦點(diǎn)事件傳毒的事件有增多的趨勢，如果安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”，當(dāng)網(wǎng)民瀏覽帶毒論壇、網(wǎng)站時，瑞星2009會立即提示網(wǎng)頁存在惡意代碼，并顯示病毒名稱，如下圖。   

圖28

再以09年6月28日“中國票務(wù)網(wǎng)（htxxp://www.piao.com/）被植入惡意代碼為例。用戶訪問該頁面將被安裝木馬病毒等惡意程序,可以導(dǎo)致電腦被黑客控制并且被竊取敏感信息?！　?/P>

【MalUrl:htxxp://www.piao.com/c_lvyou/index.asp】，安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會立即提示網(wǎng)頁存在惡意代碼，并進(jìn)行攔截，如下圖。 

圖29

圖30

#p#

六、針對2009年下半年惡意網(wǎng)站安全威脅提示

高度警惕網(wǎng)頁掛馬，雖然從瑞星”云安全”中心數(shù)據(jù)顯示，6月掛馬網(wǎng)站存在下降趨勢，但由于這種傳播方式歷史悠久、感染成功率高，病毒團(tuán)伙絕不會這樣放棄。隨著暑期臨近，學(xué)生用戶網(wǎng)游娛樂和旅游休閑的頻次大幅上升，網(wǎng)游相關(guān)下載、旅游網(wǎng)站訪問和數(shù)碼相機(jī)等存儲介質(zhì)的使用，給遠(yuǎn)程控制木馬的傳播提供了可乘之機(jī)。一旦用戶感染這些后臺木馬，就會淪為病毒團(tuán)伙控制的“肉雞”，成為其實(shí)施網(wǎng)絡(luò)犯罪的工具，并威脅到您自身的隱私和財產(chǎn)安全，請您及時安裝和升級您的安全軟件。

大型網(wǎng)站不等于安全網(wǎng)站，在2009年上半年瑞星“云安全”攔截惡意網(wǎng)址中，有不少政府的類網(wǎng)站被掛馬，這也應(yīng)該會成為下半年網(wǎng)頁掛馬流行趨勢，傳統(tǒng)上，網(wǎng)民們有如下錯誤觀念：只有不良網(wǎng)站才會帶毒、才會被掛馬，只要堅持良好的瀏覽習(xí)慣，就可以躲避盜號木馬的侵襲。統(tǒng)計數(shù)據(jù)表明，這樣的觀念已經(jīng)過時，黑客也已轉(zhuǎn)移目標(biāo)，改變策略，不僅僅瞄準(zhǔn)一些不知名網(wǎng)站，那些所謂的“正常網(wǎng)站、大中型網(wǎng)站”正在整個木馬鏈條中發(fā)揮著越來越重要的作用，如政府便民類網(wǎng)站、體育明星、影視明星類網(wǎng)站也將成為黑客垂涎三尺的肥肉。

針對以上不安全因素，瑞星專家建議廣大網(wǎng)民采取以下措施：

1、安裝瑞星全功能安全軟件2009，其中獨(dú)有的“木馬入侵?jǐn)r截”功能，能通過對掛馬網(wǎng)頁行為的監(jiān)控，阻止木馬入侵用戶電腦，將木馬病毒攔截在電腦之外。其強(qiáng)大的殺毒引擎，可以徹底殺滅新型感染型病毒與木馬。

2、安裝“瑞星個人防火墻2009”，它集成國內(nèi)最大的“木馬網(wǎng)址庫”，并且每天升級云安全系統(tǒng)捕獲的掛馬網(wǎng)站網(wǎng)址，可以第一時間攔截掛馬網(wǎng)站。

3、利用瑞星卡卡的“漏洞掃描與修復(fù)”功能，可以幫網(wǎng)民修復(fù)系統(tǒng)漏洞，阻止掛馬網(wǎng)站利用各種漏洞進(jìn)行侵襲。

4、養(yǎng)成良好上網(wǎng)習(xí)慣，高度警惕網(wǎng)絡(luò)詐騙，不觀看各類不良視頻，不訪問不健康網(wǎng)站。