【51CTO.com 综合消息】根据瑞星“云安全”数据中心最新统计数据表明,2009年上半年,瑞星“云安全”系统拦截到的挂马网页数累计达2.9亿个,共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有35万个(以域名计算),比去年同期有大幅度增长,但第二季度比第一季度有显著下降。
瑞星“云安全”系统正式运行1周年,瑞星杀毒软件对挂马网站进行了有效的拦截,目前木马病毒的增长势头被成功遏制,而传统的“感染型病毒”逐渐抬头,这这表明病毒制造团伙在挂马网站被封堵的情况下,只好回归以往高成本的“感染性病毒”(编写较为复杂、感染效率低)攻击方式。
从瑞星“云安全”系统中心数据显示 :
1、由于黑客针对大型网站、流行软件进行挂马,使得单个木马网站攻击网民的数量有上升趋势,据统计上半年度排行前两位的木马网站攻击网民数量都超过了145万,排行第一的木马感染了177万人次的网民。
2、瑞星“云安全”系统已对色情、淫秽等网站进行了有效的拦截和警告提示,但是有近65.5%的用户,仍选择点击登录,以满足其好奇心。
3、从木马网站域名类型的统计来看,CN域名是黑客挂马最热门的类型。上半年度,有67.8%的木马网站使用CN域名,其后依次【.com】、【.org】、【.com.cn】、【.net】。
4、网民被挂马网站攻击成功时使用的软件,主要是各种浏览器,以及内嵌了网页的流行软件。从统计数据可以看出,IE浏览器在该项统计中名列第1,腾讯TT、遨游、世界之窗、360浏览器分列2至5位。
5、上半年1月至6月新增的恶意网址数量为71765942个,平均每个月新增的恶意网址数量为11960990个。
6、北京、广东、浙江是木马网站数量最多的三个省,有35%的木马网站服务器位于北京市。而广东、北京、湖南是受网民受木马影响最为严重的省,网民数量越多的省受影响越严重。
根据以上瑞星公司的统计研究表明,目前的互联网非常脆弱,各种热点新闻、流行软件、社交(SNS)网站、浏览器插件的漏洞层出不穷,为黑客提供了大量入侵和攻击的机会。网页取代网络成为攻击活动的主要渠道,“挂马网页”已经成为黑客传播病毒的主要手段。目前90%以上的木马病毒通过“挂马”方式传播,这些几乎都源于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本等)、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,给黑客可乘之机;其中访问量越大的网站越有被挂马的可能,因为此类网站被黑客关注程度较高;另外就是政府机关网站、各大中型企业网站,由于专业性技术人员缺乏,网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马
免责声明:
本报告综合瑞星“云安全”数据中心的统计,仅针对中国大陆地区2009年上半年度拦截的木马网站数据进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用,如若本报告阐述之状况、数据与其它机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。#p#
一、2009年上半年度挂马网站疫情概要
瑞星“云安全”数据中心的统计表明,2009年上半年度截获的挂马网站(网页数量)总数目为2.9亿个,平均每天截获162万个;挂马网站攻击总次数11.2亿次,平均每天遭遇攻击次数达622万次;其中确定是网站被挂马的“挂马网站”总数为351138个,平均每天有1951个网站被挂马,2009年上半年第2周拦截的“挂马网站”高达19383个,平均每天2769个。
 |
| 图1 |
 |
| 图2 |
 |
| 图3 |
通过以上数据显示我们不难看出,09年6月份截获木马网站数量和挂马网站攻击次数有明显减少,网络安全状况逐渐平稳。但瑞星专家提示您,随着暑期临近,不少学生用户网游娱乐和旅游休闲的频次大幅上升,网游相关下载、旅游网站访问和数码相机等存储介质的使用,给远程控制木马的传播提供了可乘之机。随着瑞星“云安全”系统正式运行1周年,对挂马网站和木马病毒进行了有效的拦截,目前木马病毒的增长势头被成功遏制,而传统的“感染型病毒”逐渐抬头,这表明病毒制造团伙在挂马网站被封堵的情况下,为了保障其利益,只好回归以往高成本的“感染性病毒”(编写较为复杂、感染效率低)攻击方式。#p#
二、2009年上半年度挂马网站数据统计
1、挂马网站截获量统计
瑞星“云安全”数据中心2009年上半年的监测数据,统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量,截获到的挂马网站(以网页个数统计)数目总计292161979个,拦截次数总计1119827619次。
2、挂马网站平均访问人次的统计
2009年上半年,瑞星“云安全”数据中心已拦截到1119827619人次访问挂马网站,每天平均访问人次达6221264次。也就是说,平均每天有622万余人次网民访问过恶意网页。
3、每月新增的恶意网址数据统计
据瑞星“云安全”数据中心2009年上半年数据显示,1月-6月新增的恶意网址数量为71765942个,平均每个月新增的恶意网址数量为11960990个,也就是说每天平均新增被挂马url数量为398699个。
 |
| 图4 |
4、木马网站Top10排行
 |
| 图5 |
排行首位的木马网站被拦截的次数70万次;第二名的木马网站被拦截次数为51万余次;第十名的拦截次数也达到27万余次。
5、 木马地址拦截量统计
“木马地址”是指可以直接下载木马病毒的URL网址,从瑞星“云安全”数据中心上半年统计看,被拦截的木马地址数目为1196092个,去掉重复地址后的数目是26832个,拦截次数共56143839次。其中6月份被拦截木马地址数量为3601935次,比5月份有明显下降,网络安全状况趋于平稳状态。
 |
| 图6 |
6、木马地址Top10排行(十大木马排行)
 |
| 图7 |
排名第一的木马地址Worm.Win32.Autorun.eyr(病毒下载器)被拦截次数达到177万余次,前三位的木马地址拦截次数均超过145万次,第十名的木马地址拦截次数也达到97万次。
7、新型感染型病毒截获量数据
从今年3月份开始,“云安全”系统截获的挂马网站、盗号木马样本数量呈明显下降趋势。随着“云安全”系统的顺利运行,黑色产业链中的主要传播途径—“网站挂马”受到严重打击,用户通过“挂马网站”直接感染木马病毒的机会大大减少,制作成本较低的木马病毒也在逐渐下降。
黑客为保证自己的获得稳定的经济利益,不得不重新采用新型感染性病毒。据统计,2009年1月份受感染型病毒侵袭的网民为106万,而6月份则达到了395万,上升了近4倍。相对挂马网站低廉的“成本”相比,感染型病毒要求的技术门槛很高,编写难度较大,其传播效率也大大低于挂马网站传播的木马病毒。
 |
| 图8 |
8、用户主动上报恶意网址数据统计
瑞星公司客服中心数据显示,2009年上半年用户通过拨打电话、发送email、论坛提交等方式主动上报的恶意网址总量为12460个(其中电话902个、邮件105个、论坛11032个、其它421个),占瑞星“云安全”系统拦截恶意网址总数的千万分之一。
 |
| 图9 |
我们仔细想一下,如果目前没有瑞星“云安全”系统对挂马网站的的拦截功能,黑客团体就会利用上亿个未被拦截的挂马网站疯狂的在网络中传播木马病毒,控制大量的“肉鸡”群体,让这些“肉鸡”自动刷新访问某个网站,提升该网站的访问量、造成网站瘫痪或者使某个网站服务器、防火墙瘫痪,为黑客团伙牟取更多的经济利益,也因此大大的威胁了用户的自身隐私和财产安全。
9、木马网站域名的类型统计
瑞星“云安全”数据中心截获的数据表明,2009年上半年被拦截的木马网站域名类型排行如下图,排名第一是【.cn】,拦截量达10402029次,有67.8%的木马网站使用CN域名,前五名中排名紧随其后的域名依次为【.com】、【.org】、【.com.cn】、【.net】。
 |
| 图10 |
10、挂马网站利用不安全软件的次数统计
2009年上半年,瑞星“云安全”数据中心还记录了访问挂马网站的进程,以及利用不安全进程访问的挂马网站数量。从下图可以看出,使用浏览器访问挂马网站的数量最多,IE名列第一,腾讯TT和遨游紧随其后。
 |
| 图11 |
11、恶意网站地区分布数量统计
2009年上半年度恶意网站地区分布比例统计如下图,本数据显示恶意网站服务器实际存在的地理位置,以IP地址为准。通常情况下,多个木马网站URL会存在于同一IP地址,因此该数据的量级会远远小于实际的木马网站数量。
 |
| 图12 |
12、各个地区受恶意网站影响度排行
2009年上半年,在各省疫情方面,广东省以8%的数量领先,北京、山东、湖南、江苏等省市紧随其后。从瑞星“云安全”统计数据来看,各省网民受恶意网木马网站几乎没有差距,上网计算机保有量是疫情地区差别最重要的原因。
 |
|
图13 |
 |
| 图14 |
13、十大影响较大的被挂马网站
榜单中的网站,均曾在1-6月遭到过病毒团伙攻击,并被挂上脚本木马。从瑞星“云安全”中心数据记录到的挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,排出此榜单。
 |
| 图15 |
#p#
三、2009年上半年度瑞星典型事件回顾
1、“恶意网站监测网”亮相专克挂马网站、钓鱼网站等互联网安全威胁
2009年1月8日,瑞星推出“恶意网站监测网(http://mwm.rising.com.cn/)”,这是国内首个专门针对挂马网站、钓鱼网站等互联网威胁的实时监测系统,所有政府机构、企业和个人用户都可以免费浏览该网站,全面、清晰地了解国内网站被黑客“挂马”的情况。该网站通过对“云安全”系统采集的数据进行分析和处理,每天公布挂马网站排行榜、目前最危险的漏洞、挂马网站在各区域的危害情况等信息,用户可以根据这些信息,调整自己的安全防护措施。所有使用“瑞星2009”产品的用户,访问挂马网站时都会被拦截,而挂马网站的网址、下载木马的URL地址等信息,则被上报到“云安全”系统,瑞星“恶意网站监测网”对这些收集到的数据进行分析汇总,从中可以发现挂马网站的真正“源头”。
 |
| 图16 |
(6月18日,3199653人次网民访问恶意网站,被“瑞星2009”拦截)
据瑞星“云安全“监测数据显示,6月18日当天约有319万网民访问挂马网站,6月9日互联网上共有42万个网页带有木马活动,118万人次网民遭受攻击,被瑞星2009拦截。“瑞星2009”的“木马入侵拦截——网站拦截”功能会自动拦截这些挂马网站,加入瑞星云安全计划的用户不会中毒。而没有加入瑞星“云安全”计划的网民,则可能被木马侵入。目前流行的挂马网站中通常会携带盗号木马、木马下载器等,如果成功侵入用户电脑,则会窃取网游、网银、QQ帐号等。
截至6月29日,恶意网站http://vpsvip.com和http://15hamei.3322.org在排行榜上位居前两位,一周内分别攻击了154332人次和134307人次,都在了十万次以上。瑞星安全专家表示,黑客往往会把同一个恶意网站的木马网址,同时植入多个被攻陷的正常网站,例如http://vpsvip.com就被嵌入了多个流行网站、外挂网站,所以才能有如此大量的受害用户。
 |
| 图17 |
( 截至6月28日恶意网站top5排行榜,以一个星期为间隔)
恶意网站监测网收集的恶意网址等信息,会加入到瑞星全功能安全软件2009,将90%以上的木马病毒拦截在电脑之外。
2、瑞星成为微软MAPP合作伙伴 ,瑞星用户可第一时间获得保护。
2009年5月,瑞星公司和微软公司达成协议,成为微软MAPP安全软件合作伙伴。自即日起,瑞星可以在微软发布月度安全更新之前,提前获取漏洞的相关信息,并可以第一时间升级瑞星漏洞特征库。这意味着,瑞星的用户可以有效提高防范新木马病毒和黑客攻击的能力。 微软MAPP计划全称为Microsoft Active Protections Program,该计划的目的是为了整合全球安全方面的资源,经过严格考核的顶级安全厂商,可以提早获取微软漏洞的相关信息,IBM、思科都是加入该计划的早期成员。瑞星是国内安全软件领域中最早的成员。 以前,微软发布漏洞补丁程序之后,用户可以利用微软提供的Windows 更新等手段进行安全更新,与此同时,安全厂商对补丁程序进行分析,并把下载地址更新到其安全软件中,并下载安装,而黑客和病毒病毒制造者会充分利用这段从发现安全威胁到用户还未进行更新的“黄金时间”,大肆进行网站挂马和病毒传播。如果安全厂商提前获得相关漏洞的信息,即有可能更及时的提供经过更新的安全软件或设备,更有效地防范这些木马或病毒。
3、瑞星“云安全”嵌入网游 ,阻击反盗号木马。
“游戏帐号怎么才能不被盗用?“装备怎么老丢?”网游盗号,这一与网游私服和外挂并列为网络犯罪打击重要的违法行为,正在大肆蚕食着网游玩家的心血,更为许多网民的网络安全带来隐患。
2009年6月25日,搜狐畅游与瑞星公司达成深度合作协议,搜狐畅游将在旗下网游《天龙八部》安装包中集成瑞星“云安全”客户端。这不仅是网络游戏首次嵌入“云安全”客户端,也是搜狐畅游和瑞星公司为保护玩家账号安全,提供的最新一项重要举措! 届时,木马病毒侵入安装《天龙八部》的电脑,就会被上报到“云安全”服务器,服务器最短时间内返回结果,用户可对病毒进行查杀,这将有效防止网游玩家账号被盗、游戏运行异常等情况。据介绍,瑞星的“云安全”客户端本身兼容性好,控件在500K以内,不与游戏抢电脑资源,具备优先处理病毒的样本,无需用户介入,自动识别病毒木马等特点。#p#
四、2009年上半年度挂马网站案例分析
1、酷狗被黑客恶意挂马
2009年2月25日,瑞星“云安全”监测数据表明,酷狗被挂马,当天截获到KuGoo.exe访问挂马网站的数量为337519,第二天2月26日为480800,那一次挂马的“寿命”长达两天,直到2月27日才清除了挂马。3月14日通过KuGoo.exe进程访问挂马网站数据量暴增,为724381,达到平时访问量的30倍之多,那次挂马持续了一天,3月15日被清除恢复正常,当天显示数量下降至18964。
以3月14日为例,最早在3月14日凌晨4点19分酷狗论坛上就有用户反馈酷狗被挂马,直至当天中午11点47分仍有类似的帖子出现。恶意网木马网站为的“寿命”越长,传播和受害面就越广。尤其是没有安装网页木马拦截功能的软件的这部分用户,丝毫察觉不到自己的计算机已遭到攻击、入侵。一旦木马病毒下载后自动运行,信息安全就受到严重威胁。
截止到6月29日,“云安全”数据中心显示,酷狗网站在5月7日和6月9日仍有小范围的被挂马行为。(5月7日截获到KuGoo.exe访问挂马网站的数量为27379,6月9日为9552)
 |
| 图18 |
 |
| 图19 |
2、“极品时刻表”被黑客恶意挂马
2009年3月9日,瑞星“云安全”系统提供的数据表明,网民中流行的“极品时刻表”软件被黑客挂马,截至当天19时为止,瑞星已拦截到66757人次网民遭到攻击。极品时刻表内嵌的网页被黑客植入木马,当用户使用该软件查询列车车次时,就会遭到攻击。
 |
| 图20 |
(点击“查询”按钮之后,该软件自动打开的内嵌广告页带毒)
被植入木马的网页为极品时刻表内嵌的广告网页,用户在使用“查询”功能之后,该软件会自动打开那个被挂马的网页。该网页中使用了多个常用软件的流行漏洞,如果用户没有做好相应的防护,很容易中毒。
据了解,极品时刻表被植入的木马地址为http://***.6t65r.cn/,该恶意网木马网站量在那几天上升极快,可能黑客还把该网页植入了其它常用网站或软件当中。玩家一旦中毒,电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒,从而带来极大的安全风险。
3、博客房产网站被挂马 导致大量用户中毒
2009年4月,据瑞星“云安全”系统统计,本月瑞星共截获了15432616个木马网址,4月24-4.26日共有6,438,943人次的网民遭到网页挂马攻击,瑞星共截获了1,847,811个挂马网址。仅4月24日当天就有2,325,7762人次的网民遭到网页挂马攻击,瑞星截获了681,393个挂马网址。其中博客、房地产、招聘、学校类网站被挂马次数频繁:
 |
| 图21 |
4、美女艳照引来网络挂马狂潮
2009年5月, “海运女艳照”成为网民关注的焦点,黑客利用此焦点事件传毒的事件有增多的趋势,据“云安全”中心数据显示, 5月14日就有近百个相关带毒论坛、网站被截获,其中植入的木马绝大部分会窃取网游帐号、下载其它恶意程序等。
 |
| 图22 |
据瑞星技术部门分析,黑客主要采用三种方式传播病毒:建立带毒网站,然后把网站地址通过QQ、论坛等方式转贴,吸引用户浏览,浏览后就会中毒;把艳照图片跟病毒打包在一起,在论坛发帖称“我有最全艳照合集”,让网民留下邮箱,然后把带毒图片包发到网民邮箱里,网民打开浏览时就会中毒,还有的直接把木马病毒伪装成图片的模样,用户浏览时就会中毒。
目前,几大搜索引擎的贴吧里,有关海运女的帖子已经有数万个,其中绝大多数是让网民留下邮箱,发送图片包的。还有的黑客趁机在热门帖子后面跟帖,留下带毒网站的链接,诱骗网民上当。
5、微软DirectShow爆严重漏洞,黑客利用该漏洞挂马
2009年6月,微软公司向MAPP伙伴公布其DirectShow软件中存在的一个严重漏洞,利用该漏洞的挂马网站已经在互联网上出现,用户浏览这些网站后就会中毒。作为中国大陆地区的MAPP合作伙伴,瑞星公司在收到微软提供的相关技术资料后,针对此漏洞进行了紧急分析,并通过“云安全”系统成功截获了利用该漏洞的挂马网站。
据了解,微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。攻击者可随意查看、更改或删除数据或者创建拥有完全用户权限的新帐户。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻击,Windows Vista和 Windows Server 2008的所有版本不容易受影响。
 |
| 图23 |
6、PDF网马成为国内近期较为流行的挂马趋势
在以往的网马解密分析中,恶意网址利用pdf漏洞网马寥寥无几。偶尔零星的也是在国外网马分析中有pdf网马身影。但是根据近期针对国内网马分析,发现了多起pdf网马身影。
根据6月份的瑞星每日安全播报分析的恶意网址来看,像类似http://2.hffangchan.com(合肥房产网)、http://bbs.skyhu.com(火狐游戏网)、http://www.china228.com/(好得网)等被挂马网站,在所挂恶意链接中均有pdf网马,以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等两个链接出现频率最高,且出现有一个pdf网马,使用网马解密工具分析,出现截然两种不同的网马下载地址,使用相关的下载工具验证下载,解密出网马地址均为真实有效的可以下载的地址。虽然这个漏洞大概在2008年左右出现,也是在近期分析国内所挂恶意链接地址中,出现pdf网马。这也充分说明了pdf网马应该会在2009年下半年国内网页挂马中,增加黑客牟利成功的砝码。
7、微软最新视频控件漏洞导致木马爆发
7月7日,瑞星公司发布橙色安全警报,微软视频控件(Microsoft Video ActiveX Control)漏洞导致的挂马网站攻击大幅增加,7月5日凌晨瑞星“云安全”系统首次监控到利用该漏洞的攻击代码出现,随后的5日6日短短两天内,监测到130万用户遭到利用该漏洞的攻击。
瑞星安全专家分析,产生漏洞的原因是用户系统中的msvidctl.dll组件不正确读取持久化的字节数组,攻击者可随意覆盖SEH或者RET,将EIP 设置成任意数值,结合javascript堆喷射方式可远程执行任意代码,黑客不必让用户运行被恶意修改的视频文件就可以进行挂马攻击。用户一旦访问被挂马的网站后,就会自动触发MPEG-2视频组件的msvidctl.dll组件,然后运行黑客植入的网页木马,最终下载大量盗号木马病毒,导致用户电脑系统异常甚至蓝屏,并盗取用户网游账号密码等个人信息。
 |
| 图24 |
8、微软Office漏洞导致大量挂马网站
7月13日,继微软视频控件漏洞出现之后,微软Office网络组件远程控制漏洞被黑客利用,进行挂马攻击。根据瑞星“云安全”系统监测,5日内已有133余万台电脑遭攻击。北京时间14日凌晨,微软已经发布了针对该漏洞的通告。
该漏洞危害全系列Windows系统,黑客可利用该漏洞来构建挂马网站,用户访问这些网站后即会被感染,植入木马下载器、盗号木马等恶意程序。目前该漏洞没有官方补丁,瑞星杀毒软件2009、瑞星全功能安全软件2009中的独有“网页防挂马”模块,采用“网页脚本行为分析技术”,无需补丁即可有效拦截利用该漏洞的挂马网站。
 |
| 图25 |
#p#
五、2009年上半年度恶意网站挂马分析
1、利用各种漏洞挂马
2009年上半年,黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网页挂马上,如:Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时,针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。由于目前流行的各种热门网站、客户端软件和浏览器,都存在着众多漏洞和安全薄弱点,使得用户遭到攻击的渠道暴增;而且,随着黑客-病毒产业链臻于完善,支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭,使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。
瑞星“云安全”系统监测发现,一旦出现微软漏洞,很快会被恶意攻击者广泛采用来进行网页挂马活动:
2009年2月,瑞星公司发出第一个红色(一级)安全警报,因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看,该漏洞补丁发布日期前后的一段时间,恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。仅在2月19日就截获了高达866万人次的挂马网站攻击,比前一天增加了一倍之多。
2009年6月,微软DirectShow爆严重漏洞,黑客利用热门视频传播木马已成为惯用伎俩,而对“DirectShow视频开发包”漏洞的利用则是在视频播放时下载木马,而视频文件本身并不需要捆绑木马,因此可以避开杀毒软件和防火墙的防护,黑客可以通过在线播放“网页挂马”、 网友间视频共享等多种途径传播木马。该漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。攻击者可随意查看、更改或删除数据或者创建拥有完全用户权限的新帐户。
2、利用CSS挂马
随着Web2.0技术以及Blog、Wiki等广泛的应用,各种网页特效用得越来越多,这也给黑客一个可乘之机。他们发现,用来制作网页特效的CSS代码,可以用来挂马。而比较讽刺的是,CSS挂马方式其实是从防范IFRAME挂马的CSS代码演变而来。CSS挂马方式,可以说是Web2.0时代黑客的最爱。
在Web1.0时代,使用IFRAME挂马对于黑客而言,与其说是为了更好地实现木马的隐藏,倒不如说是无可奈何的一个选择。在简单的HTML网页和缺乏交互性的网站中,黑客可以利用的手段也非常有限,即使采取了复杂的伪装,也很容易被识破,还不如IFRAME来得直接和有效。
但如今交互式的Web2.0网站越来越多,允许用户设置与修改的博客、SNS社区等纷纷出现。这些互动性非常强的社区和博客中,往往会提供丰富的功能,并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改,这促使了CSS挂马流行。
注意:CSS是层叠样式表(Cascading Style Sheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。
黑客在利用CSS挂马时,往往是借着网民对某些大网站的信任,将CSS恶意代码挂到博客或者其他支持CSS的网页中,当网民在访问该网页时恶意代码就会执行。这就如同你去一家知名且证照齐全的大医院看病,你非常信任医院,但是你所看的门诊却已经被庸医外包了下来,并且打着医院的名义利用你的信任成功欺骗了你。但是当你事后去找人算账时,医院此时也往往一脸无辜。
据瑞星“云安全”监测系统显示,每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站,其中包括门户网站、娱乐网站、市场经济形势网站、网络论坛、游戏网站等(如下图),用户访问这些网站就会中毒。显而易见,越来越多的恶意攻击源自利用CSS挂马的合法网站。
 |
| 图26 |
3、利用“热点信息”传播牟利
瑞星“云安全”系统监测发现,只要公众关注某一话题,黑客就会“如影随行”, 目的就是通过挂马实现病毒感染、控制肉鸡、盗号、提高网站点击率等等以达到其最终的经济利益。
(1)、杰克逊病逝新闻引网民关注 娱乐网站大量被“黑”
随着《变形金刚2》的热映与迈克尔•杰克逊病逝等事件成为广大网民关注的热点,大量网民访问视频网站收看预告片或追忆明星生前的经典影音。这些视频网站很快就被黑客瞄上了。更有甚者,一些木马病毒还伪装成杀毒软件,欺骗用户付费。“杀软伪造者木马”Trojan.Win32.FakeAV.ri)就是其中之一。该病毒是一个假冒杀毒软件的欺骗程序,病毒会把自身伪造成一个正常的杀毒软件,在桌面和开始菜单生成快捷方式。无论用户电脑是否有病毒,伪造的杀毒软件都会提示扫描到病毒,骗用户杀毒,使用户更容易上当注册。当用户使用伪装的“清除病毒功能”时,会连接指定网站进行注册并对指定网站进行流量点击。
(2)、黑客瞄准购物网站,传播盗号病毒
“网购“已成为时值人们最流行的购物方式,黑客也虎视眈眈的瞄准了购物网站,瑞星“云安全”系统就从截获的挂马网站中发现,多家礼品购物网站被骇客恶意挂马,E搜礼品网站几乎每个网页都被挂上了木马病毒,用户一旦点击被挂马的网页就有可能被木马入侵,而这些木马病毒有90%以上都是盗号病毒,黑客通过获取到的账号,转移用户资金,严重威胁用户网上银行资金安全
4、网页挂马更具隐蔽性和智能化
通过对瑞星云安全拦截的恶意网址进一步分析,发现恶意网址更加具有隐蔽性,一般恶意网址链接,最少通过3次跳转 ,最多也就7—8次跳转,分析出最终网马地址。而在近期网马解密分析中,有出现恶意地址经过多次跳转,要经过层层分析,最终才能解密出最终网马地址。而这些都是源于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本等)、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,给黑客可乘之机;其中访问量越大的网站越有被挂马的可能,因为此类网站被黑客关注程度较高;另外政府机关网站、各大中型企业网站,由于专业性技术人员缺乏,网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马。
近期,对瑞星“云安全”截获的恶意网址进行分析,发现恶意链接为:“http://3b3.org/c.js”极为猖獗,分析其js脚本程序,其中有针对gov.cn、edu.cn这两个域名判断,如果是gov.cn和edu.cn就不嵌入挂马网址,即对政府和教育类域名屏蔽挂马网址,可见黑客团伙的网页挂马技术已日趋智能化和产业化。
 |
| 图27 |
5、瑞星挂马网站拦截功能
以“海运女艳照”被黑客恶意挂马为例,黑客利用此焦点事件传毒的事件有增多的趋势,如果安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”,当网民浏览带毒论坛、网站时,瑞星2009会立即提示网页存在恶意代码,并显示病毒名称,如下图。
 |
| 图28 |
再以09年6月28日“中国票务网(htxxp://www.piao.com/)被植入恶意代码为例。用户访问该页面将被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。
【MalUrl:htxxp://www.piao.com/c_lvyou/index.asp】,安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”会立即提示网页存在恶意代码,并进行拦截,如下图。
 |
| 图29 |
 |
| 图30 |
#p#
六、针对2009年下半年恶意网站安全威胁提示
高度警惕网页挂马,虽然从瑞星”云安全”中心数据显示,6月挂马网站存在下降趋势,但由于这种传播方式历史悠久、感染成功率高,病毒团伙绝不会这样放弃。随着暑期临近,学生用户网游娱乐和旅游休闲的频次大幅上升,网游相关下载、旅游网站访问和数码相机等存储介质的使用,给远程控制木马的传播提供了可乘之机。一旦用户感染这些后台木马,就会沦为病毒团伙控制的“肉鸡”,成为其实施网络犯罪的工具,并威胁到您自身的隐私和财产安全,请您及时安装和升级您的安全软件。
大型网站不等于安全网站,在2009年上半年瑞星“云安全”拦截恶意网址中,有不少政府的类网站被挂马,这也应该会成为下半年网页挂马流行趋势,传统上,网民们有如下错误观念:只有不良网站才会带毒、才会被挂马,只要坚持良好的浏览习惯,就可以躲避盗号木马的侵袭。统计数据表明,这样的观念已经过时,黑客也已转移目标,改变策略,不仅仅瞄准一些不知名网站,那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用,如政府便民类网站、体育明星、影视明星类网站也将成为黑客垂涎三尺的肥肉。
针对以上不安全因素,瑞星专家建议广大网民采取以下措施:
1、安装瑞星全功能安全软件2009,其中独有的“木马入侵拦截”功能,能通过对挂马网页行为的监控,阻止木马入侵用户电脑,将木马病毒拦截在电脑之外。其强大的杀毒引擎,可以彻底杀灭新型感染型病毒与木马。
2、安装“瑞星个人防火墙2009”,它集成国内最大的“木马网址库”,并且每天升级云安全系统捕获的挂马网站网址,可以第一时间拦截挂马网站。
3、利用瑞星卡卡的“漏洞扫描与修复”功能,可以帮网民修复系统漏洞,阻止挂马网站利用各种漏洞进行侵袭。
4、养成良好上网习惯,高度警惕网络诈骗,不观看各类不良视频,不访问不健康网站。
