国产午夜激无码Av片在线观看,妇女BBBB插插插视频 h片在线观看网站,欧美视频精品免费覌看,美女日卩久久

旅行社同業(yè)信息管理系統(tǒng)
RSS訂閱 | 匿名投稿
您的位置:網(wǎng)站首頁 > 行業(yè)資訊 > 正文

2009上半年中國大陸地區(qū)互聯(lián)網(wǎng)安全報告

作者:restaryu 來源: 日期:2012/2/24 22:08:53 標簽:互聯(lián)網(wǎng)安全

  根據(jù)瑞星“云安全”數(shù)據(jù)中心最新統(tǒng)計數(shù)據(jù)表明,2009年上半年,瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達2.9億個,共有11.2億人次網(wǎng)民遭木馬攻擊,平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站;其中大型網(wǎng)站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長,但第二季度比第一季度有顯著下降。

  瑞星“云安全”系統(tǒng)正式運行1周年,瑞星殺毒軟件對掛馬網(wǎng)站進行了有效的攔截,目前木馬病毒的增長勢頭被成功遏制,而傳統(tǒng)的“感染型病毒”逐漸抬頭,這這表明病毒制造團伙在掛馬網(wǎng)站被封堵的情況下,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式。

  從瑞星“云安全”系統(tǒng)中心數(shù)據(jù)顯示 :

  1、由于黑客針對大型網(wǎng)站、流行軟件進行掛馬,使得單個木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢,據(jù)統(tǒng)計上半年度排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過了145萬,排行第一的木馬感染了177萬人次的網(wǎng)民。

  2、瑞星“云安全”系統(tǒng)已對色情、淫穢等網(wǎng)站進行了有效的攔截和警告提示,但是有近65.5%的用戶,仍選擇點擊登錄,以滿足其好奇心。

  3、從木馬網(wǎng)站域名類型的統(tǒng)計來看,CN域名是黑客掛馬最熱門的類型。上半年度,有67.8%的木馬網(wǎng)站使用CN域名,其后依次【.com】、【.org】、【.com.cn】、【.net】。

  4、網(wǎng)民被掛馬網(wǎng)站攻擊成功時使用的軟件,主要是各種瀏覽器,以及內(nèi)嵌了網(wǎng)頁的流行軟件。從統(tǒng)計數(shù)據(jù)可以看出,IE瀏覽器在該項統(tǒng)計中名列第1,騰訊TT傲游、世界之窗、360瀏覽器分列2至5位。

  5、上半年1月至6月新增的惡意網(wǎng)址數(shù)量為71765942個,平均每個月新增的惡意網(wǎng)址數(shù)量為11960990個。

  6、北京、廣東、浙江是木馬網(wǎng)站數(shù)量最多的三個省,有35%的木馬網(wǎng)站服務器位于北京市。而廣東、北京、湖南是受網(wǎng)民受木馬影響最為嚴重的省,網(wǎng)民數(shù)量越多的省受影響越嚴重。

  根據(jù)以上瑞星公司的統(tǒng)計研究表明,目前的互聯(lián)網(wǎng)非常脆弱,各種熱點新聞、流行軟件、社交(SNS)網(wǎng)站、瀏覽器插件的漏洞層出不窮,為黑客提供了大量入侵和攻擊的機會。網(wǎng)頁取代網(wǎng)絡成為攻擊活動的主要渠道,“掛馬網(wǎng)頁”已經(jīng)成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過“掛馬”方式傳播,這些幾乎都源于系統(tǒng)漏洞、后臺服務器存在不安全設置、網(wǎng)站實現(xiàn)代碼缺陷(如SQL注入、論壇代碼缺陷、跨站腳本等)、或網(wǎng)站提供Web服務的程序漏洞、IIS漏洞、Apache漏洞等隱患,給黑客可乘之機;其中訪問量越大的網(wǎng)站越有被掛馬的可能,因為此類網(wǎng)站被黑客關注程度較高;另外就是政府機關網(wǎng)站、各大中型企業(yè)網(wǎng)站,由于專業(yè)性技術人員缺乏,網(wǎng)站大多由第三方公司外包開發(fā),存在缺陷較多,也最容易被掛馬

  一、2009年上半年度掛馬網(wǎng)站疫情概要

  瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計表明,2009年上半年度截獲的掛馬網(wǎng)站(網(wǎng)頁數(shù)量)總數(shù)目為2.9億個,平均每天截獲162萬個;掛馬網(wǎng)站攻擊總次數(shù)11.2億次,平均每天遭遇攻擊次數(shù)達622萬次;其中確定是網(wǎng)站被掛馬的“掛馬網(wǎng)站”總數(shù)為351138個,平均每天有1951個網(wǎng)站被掛馬,2009年上半年第2周攔截的“掛馬網(wǎng)站”高達19383個,平均每天2769個。

瑞星報告
圖1 2009年上半年截獲木馬網(wǎng)站數(shù)量

瑞星報告
圖2 2009年上半年掛馬網(wǎng)站攻擊次數(shù)

瑞星報告
圖3 2009年上半年度木馬地址數(shù)量

  通過以上數(shù)據(jù)顯示我們不難看出,09年6月份截獲木馬網(wǎng)站數(shù)量和掛馬網(wǎng)站攻擊次數(shù)有明顯減少掛馬減少威脅未減,掛馬減少威脅未減網(wǎng)絡安全狀況逐漸平穩(wěn)。但瑞星專家提示您,隨著暑期臨近,不少學生用戶網(wǎng)游娛樂和旅游休閑的頻次大幅上升,網(wǎng)游相關下載、旅游網(wǎng)站訪問和數(shù)碼相機等存儲介質(zhì)的使用,給遠程控制木馬的傳播提供了可乘之機。隨著瑞星“云安全”系統(tǒng)正式運行1周年,對掛馬網(wǎng)站和木馬病毒進行了有效的攔截,目前木馬病毒的增長勢頭被成功遏制,而傳統(tǒng)的“感染型病毒”逐漸抬頭,這表明病毒制造團伙在掛馬網(wǎng)站被封堵的情況下,為了保障其利益,只好回歸以往高成本的“感染性病毒”(編寫較為復雜、感染效率低)攻擊方式。

  二、2009年上半年度掛馬網(wǎng)站數(shù)據(jù)統(tǒng)計

  1、掛馬網(wǎng)站截獲量統(tǒng)計

  瑞星“云安全”數(shù)據(jù)中心2009年上半年的監(jiān)測數(shù)據(jù),統(tǒng)計來自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動攔截的掛馬網(wǎng)站數(shù)量,截獲到的掛馬網(wǎng)站(以網(wǎng)頁個數(shù)統(tǒng)計)數(shù)目總計292161979個,攔截次數(shù)總計1119827619次。

  2、掛馬網(wǎng)站平均訪問人次的統(tǒng)計

  2009年上半年,瑞星“云安全”數(shù)據(jù)中心已攔截到1119827619人次訪問掛馬網(wǎng)站,每天平均訪問人次達6221264次。也就是說,平均每天有622萬余人次網(wǎng)民訪問過惡意網(wǎng)頁。

  3、每月新增的惡意網(wǎng)址數(shù)據(jù)統(tǒng)計

  據(jù)瑞星“云安全”數(shù)據(jù)中心2009年上半年數(shù)據(jù)顯示,1月-6月新增的惡意網(wǎng)址數(shù)量為71765942個,平均每個月新增的惡意網(wǎng)址數(shù)量為11960990個,也就是說每天平均新增被掛馬url數(shù)量為398699個。

瑞星報告
圖4 每月新增的惡意網(wǎng)址數(shù)據(jù)統(tǒng)計

  4、木馬網(wǎng)站Top10排行

瑞星報告
圖5 木馬網(wǎng)站Top10排行

  排行首位的木馬網(wǎng)站被攔截的次數(shù)70萬次;第二名的木馬網(wǎng)站被攔截次數(shù)為51萬余次;第十名的攔截次數(shù)也達到27萬余次。

  5、 木馬地址攔截量統(tǒng)計

  “木馬地址”是指可以直接下載木馬病毒的URL網(wǎng)址,從瑞星“云安全”數(shù)據(jù)中心上半年統(tǒng)計看,被攔截的木馬地址數(shù)目為1196092個,去掉重復地址后的數(shù)目是26832個,攔截次數(shù)共56143839次。其中6月份被攔截木馬地址數(shù)量為3601935次掛馬減少威脅未減,比5月份有明顯下降,掛馬減少威脅未減網(wǎng)絡安全狀況趨于平穩(wěn)狀態(tài)。

瑞星報告
圖6 木馬地址攔截量統(tǒng)計

  6、木馬地址Top10排行(十大木馬排行)

木馬地址  
圖7 木馬地址Top10排行

  排名第一的木馬地址Worm.Win32.Autorun.eyr(病毒下載器)被攔截次數(shù)達到177萬余次,前三位的木馬地址攔截次數(shù)均超過145萬次,第十名的木馬地址攔截次數(shù)也達到97萬次。

  7、新型感染型病毒截獲量數(shù)據(jù)

  從今年3月份開始,“云安全”系統(tǒng)截獲的掛馬網(wǎng)站、盜號木馬樣本數(shù)量呈明顯下降趨勢。隨著“云安全”系統(tǒng)的順利運行,黑色產(chǎn)業(yè)鏈中的主要傳播途徑—“網(wǎng)站掛馬”受到嚴重打擊,用戶通過“掛馬網(wǎng)站”直接感染木馬病毒的機會大大減少,制作成本較低的木馬病毒也在逐漸下降。

  黑客為保證自己的獲得穩(wěn)定的經(jīng)濟利益,不得不重新采用新型感染性病毒。據(jù)統(tǒng)計,2009年1月份受感染型病毒侵襲的網(wǎng)民為106萬,而6月份則達到了395萬,上升了近4倍。相對掛馬網(wǎng)站低廉的“成本”相比,感染型病毒要求的技術門檻很高,編寫難度較大,其傳播效率也大大低于掛馬網(wǎng)站傳播的木馬病毒。

瑞星報告
圖8 感染性病毒被檢測的次數(shù)

  8、用戶主動上報惡意網(wǎng)址數(shù)據(jù)統(tǒng)計

  瑞星公司客服中心數(shù)據(jù)顯示,2009年上半年用戶通過撥打電話、發(fā)送email、論壇提交等方式主動上報的惡意網(wǎng)址總量為12460個(其中電話902個、郵件105個、論壇11032個、其它421個),占瑞星“云安全”系統(tǒng)攔截惡意網(wǎng)址總數(shù)的千萬分之一。

瑞星報告
圖9 用戶主動上報惡意網(wǎng)址數(shù)據(jù)統(tǒng)計

  我們仔細想一下,如果目前沒有瑞星“云安全”系統(tǒng)對掛馬網(wǎng)站的的攔截功能,黑客團體就會利用上億個未被攔截的掛馬網(wǎng)站瘋狂的在網(wǎng)絡中傳播木馬病毒,控制大量的“肉雞”群體,讓這些“肉雞”自動刷新訪問某個網(wǎng)站,提升該網(wǎng)站的訪問量、造成網(wǎng)站癱瘓或者使某個網(wǎng)站服務器、防火墻癱瘓,為黑客團伙牟取更多的經(jīng)濟利益,也因此大大的威脅了用戶的自身隱私和財產(chǎn)安全。

  9、木馬網(wǎng)站域名的類型統(tǒng)計

  瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明,2009年上半年被攔截的木馬網(wǎng)站域名類型排行如下圖,排名第一是【.cn】,攔截量達10402029次,有67.8%的木馬網(wǎng)站使用CN域名,前五名中排名緊隨其后的域名依次為【.com】、【.org】、【.com.cn】、【.net】。

瑞星報告
圖10 2009年上半年度木馬域名類型統(tǒng)計排行

  10、掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計

  2009年上半年,瑞星“云安全”數(shù)據(jù)中心還記錄了訪問掛馬網(wǎng)站的進程,以及利用不安全進程訪問的掛馬網(wǎng)站數(shù)量。從下圖可以看出,使用瀏覽器訪問掛馬網(wǎng)站的數(shù)量最多,IE名列第一,騰訊TT和遨游緊隨其后。

瑞星報告
圖11 掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計

  11、惡意網(wǎng)站地區(qū)分布數(shù)量統(tǒng)計

  2009年上半年度惡意網(wǎng)站地區(qū)分布比例統(tǒng)計如下圖,本數(shù)據(jù)顯示惡意網(wǎng)站服務器實際存在的地理位置,以IP地址為準。通常情況下,多個木馬網(wǎng)站URL會存在于同一IP地址,因此該數(shù)據(jù)的量級會遠遠小于實際的木馬網(wǎng)站數(shù)量。

瑞星報告
圖12 惡意網(wǎng)站地區(qū)分布比例

  12、各個地區(qū)受惡意網(wǎng)站影響度排行

  2009年上半年,在各省疫情方面,廣東省以8%的數(shù)量領先,北京、山東、湖南、江蘇等省市緊隨其后。從瑞星“云安全”統(tǒng)計數(shù)據(jù)來看,各省網(wǎng)民受惡意網(wǎng)木馬網(wǎng)站幾乎沒有差距,上網(wǎng)計算機保有量是疫情地區(qū)差別最重要的原因。

瑞星報告
圖13 惡意網(wǎng)站影響地區(qū)排行

瑞星報告
圖14

  13、十大影響較大的被掛馬網(wǎng)站

  榜單中的網(wǎng)站,均曾在1-6月遭到過病毒團伙攻擊,并被掛上腳本木馬。從瑞星“云安全”中心數(shù)據(jù)記錄到的掛馬網(wǎng)站中,按知名度、訪問量人數(shù),以及網(wǎng)站代表性進行綜合評估,排出此榜單。

瑞星報告
圖15 十大影響較大的被掛馬網(wǎng)站

  三、2009年上半年度瑞星典型事件回顧

  1、“惡意網(wǎng)站監(jiān)測網(wǎng)”亮相?藪祚R網(wǎng)站、釣魚網(wǎng)站等互聯(lián)網(wǎng)安全威脅

  2009年1月8日,瑞星推出“惡意網(wǎng)站監(jiān)測網(wǎng)(<http://mwm.rising.com.cn/>)”,這是國內(nèi)首個專門針對掛馬網(wǎng)站、釣魚網(wǎng)站等互聯(lián)網(wǎng)威脅的實時監(jiān)測系統(tǒng),所有政府機構(gòu)、企業(yè)和個人用戶都可以免費瀏覽該網(wǎng)站,全面、清晰地了解國內(nèi)網(wǎng)站被黑客“掛馬”的情況。該網(wǎng)站通過對“云安全”系統(tǒng)采集的數(shù)據(jù)進行分析和處理,每天公布掛馬網(wǎng)站排行榜、目前最危險的漏洞、掛馬網(wǎng)站在各區(qū)域的危害情況等信息,用戶可以根據(jù)這些信息,調(diào)整自己的安全防護措施。所有使用“瑞星2009”產(chǎn)品的用戶,訪問掛馬網(wǎng)站時都會被攔截,而掛馬網(wǎng)站的網(wǎng)址、下載木馬的URL地址等信息,則被上報到“云安全”系統(tǒng),瑞星“惡意網(wǎng)站監(jiān)測網(wǎng)”對這些收集到的數(shù)據(jù)進行分析匯總,從中可以發(fā)現(xiàn)掛馬網(wǎng)站的真正“源頭”。

瑞星報告
圖16 6月18日,3199653人次網(wǎng)民訪問惡意網(wǎng)站,被“瑞星2009”攔截

  據(jù)瑞星“云安全”監(jiān)測數(shù)據(jù)顯示,6月18日當天約有319萬網(wǎng)民訪問掛馬網(wǎng)站,6月9日互聯(lián)網(wǎng)上共有42萬個網(wǎng)頁帶有木馬活動,118萬人次網(wǎng)民遭受攻擊,被瑞星2009攔截!叭鹦2009”的“木馬入侵攔截——網(wǎng)站攔截”功能會自動攔截這些掛馬網(wǎng)站,加入瑞星云安全計劃的用戶不會中毒。而沒有加入瑞星“云安全”計劃的網(wǎng)民,則可能被木馬侵入。目前流行的掛馬網(wǎng)站中通常會攜帶盜號木馬、木馬下載器等,如果成功侵入用戶電腦,則會竊取網(wǎng)游、網(wǎng)銀、QQ帳號等。

  截至6月29日,惡意網(wǎng)站http://vpsvip.com和http://15hamei.3322.org在排行榜上位居前兩位,一周內(nèi)分別攻擊了154332人次和134307人次,都在了十萬次以上。瑞星安全專家表示,黑客往往會把同一個惡意網(wǎng)站的木馬網(wǎng)址,同時植入多個被攻陷的正常網(wǎng)站,例如http://vpsvip.com就被嵌入了多個流行網(wǎng)站、外掛網(wǎng)站,所以才能有如此大量的受害用戶。

瑞星報告
圖17 截至6月28日惡意網(wǎng)站top5排行榜,以一個星期為間隔

  惡意網(wǎng)站監(jiān)測網(wǎng)收集的惡意網(wǎng)址等信息,會加入到瑞星全功能安全軟件2009,將90%以上的木馬病毒攔截在電腦之外。

  2、瑞星成為微軟MAPP合作伙伴 ,瑞星用戶可第一時間獲得保護。

  2009年5月,瑞星公司和微軟公司達成協(xié)議,成為微軟MAPP安全軟件合作伙伴。自即日起,瑞星可以在微軟發(fā)布月度安全更新之前,提前獲取漏洞的相關信息,并可以第一時間升級瑞星漏洞特征庫。這意味著,瑞星的用戶可以有效提高防范新木馬病毒和黑客攻擊的能力。

  微軟MAPP計劃全稱為Microsoft Active Protections Program,該計劃的目的是為了整合全球安全方面的資源,經(jīng)過嚴格考核的頂級安全廠商,可以提早獲取微軟漏洞的相關信息,IBM、思科都是加入該計劃的早期成員。瑞星是國內(nèi)安全軟件領域中最早的成員。

  以前,微軟發(fā)布漏洞補丁程序之后,用戶可以利用微軟提供的Windows 更新等手段進行安全更新,與此同時,安全廠商對補丁程序進行分析,并把下載地址更新到其安全軟件中,并下載安裝,而黑客和病毒病毒制造者會充分利用這段從發(fā)現(xiàn)安全威脅到用戶還未進行更新的“黃金時間”,大肆進行網(wǎng)站掛馬和病毒傳播。如果安全廠商提前獲得相關漏洞的信息,即有可能更及時的提供經(jīng)過更新的安全軟件或設備,更有效地防范這些木馬或病毒。

  3、瑞星“云安全”嵌入網(wǎng)游 ,阻擊反盜號木馬。

  “游戲帳號怎么才能不被盜用?”裝備怎么老丟?“網(wǎng)游盜號,這一與網(wǎng)游私服和外掛并列為網(wǎng)絡犯罪打擊重要的違法行為,正在大肆蠶食著網(wǎng)游玩家的心血,更為許多網(wǎng)民的網(wǎng)絡安全帶來隱患。

  2009年6月25日,搜狐暢游與瑞星公司達成深度合作協(xié)議,搜狐暢游將在旗下網(wǎng)游《天龍八部》安裝包中集成瑞星”云安全“客戶端。這不僅是網(wǎng)絡游戲首次嵌入”云安全“客戶端,也是搜狐暢游和瑞星公司為保護玩家賬號安全,提供的最新一項重要舉措!

  屆時,木馬病毒侵入安裝《天龍八部》的電腦,就會被上報到”云安全“服務器,服務器最短時間內(nèi)返回結(jié)果,用戶可對病毒進行查殺,這將有效防止網(wǎng)游玩家賬號被盜、游戲運行異常等情況。據(jù)介紹,瑞星的”云安全“客戶端本身兼容性好,控件在500K以內(nèi),不與游戲搶電腦資源,具備優(yōu)先處理病毒的樣本,無需用戶介入,自動識別病毒木馬等特點。

  四、2009年上半年度掛馬網(wǎng)站案例分析

  1、酷狗被黑客惡意掛馬

  2009年2月25日,瑞星”云安全“監(jiān)測數(shù)據(jù)表明,酷狗被掛馬,當天截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為337519,第二天2月26日為480800,那一次掛馬的”壽命“長達兩天,直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進程訪問掛馬網(wǎng)站數(shù)據(jù)量暴增,為724381,達到平時訪問量的30倍之多,那次掛馬持續(xù)了一天,3月15日被清除恢復正常,當天顯示數(shù)量下降至18964。

  以3月14日為例,最早在3月14日凌晨4點19分酷狗論壇上就有用戶反饋酷狗被掛馬,直至當天中午11點47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站為的”壽命“越長,傳播和受害面就越廣。尤其是沒有安裝網(wǎng)頁木馬攔截功能的軟件的這部分用戶,絲毫察覺不到自己的計算機已遭到攻擊、入侵。一旦木馬病毒下載后自動運行,信息安全就受到嚴重威脅。

  截止到6月29日,”云安全“數(shù)據(jù)中心顯示,酷狗網(wǎng)站在5月7日和6月9日仍有小范圍的被掛馬行為。(5月7日截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為27379,6月9日為9552)

瑞星報告
圖18 KuGoo.exe上報量走勢圖

瑞星報告
圖19 KuGoo.exe上報量走勢

  2、“極品時刻表”被黑客惡意掛馬

  2009年3月9日,瑞星”云安全“系統(tǒng)提供的數(shù)據(jù)表明,網(wǎng)民中流行的”極品時刻表“軟件被黑客掛馬,截至當天19時為止,瑞星已攔截到66757人次網(wǎng)民遭到攻擊。極品時刻表內(nèi)嵌的網(wǎng)頁被黑客植入木馬,當用戶使用該軟件查詢列車車次時,就會遭到攻擊。

瑞星報告
圖20 點擊”查詢“按鈕之后,該軟件自動打開的內(nèi)嵌廣告頁帶毒

  被植入木馬的網(wǎng)頁為極品時刻表內(nèi)嵌的廣告網(wǎng)頁,用戶在使用”查詢“功能之后,該軟件會自動打開那個被掛馬的網(wǎng)頁。該網(wǎng)頁中使用了多個常用軟件的流行漏洞,如果用戶沒有做好相應的防護,很容易中毒。

  據(jù)了解,極品時刻表被植入的木馬地址為http://***.6t65r.cn/,該惡意網(wǎng)木馬網(wǎng)站量在那幾天上升極快,可能黑客還把該網(wǎng)頁植入了其它常用網(wǎng)站或軟件當中。玩家一旦中毒,電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒,從而帶來極大的安全風險。

  3、博客房產(chǎn)網(wǎng)站被掛馬 導致大量用戶中毒

  2009年4月,據(jù)瑞星”云安全“系統(tǒng)統(tǒng)計,本月瑞星共截獲了15432616個木馬網(wǎng)址,4月24-4.26日共有6,438,943人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊,瑞星共截獲了1,847,811個掛馬網(wǎng)址。僅4月24日當天就有2,325,7762人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊,瑞星截獲了681,393個掛馬網(wǎng)址。其中博客、房地產(chǎn)、招聘、學校類網(wǎng)站被掛馬次數(shù)頻繁:

瑞星報告
圖21

  4、美女艷照引來網(wǎng)絡掛馬狂潮

  2009年5月, ”海運女艷照“成為網(wǎng)民關注的焦點,黑客利用此焦點事件傳毒的事件有增多的趨勢,據(jù)”云安全“中心數(shù)據(jù)顯示, 5月14日就有近百個相關帶毒論壇、網(wǎng)站被截獲,其中植入的木馬絕大部分會竊取網(wǎng)游帳號、下載其它惡意程序等。

瑞星報告
圖22

  據(jù)瑞星技術部門分析,黑客主要采用三種方式傳播病毒:建立帶毒網(wǎng)站,然后把網(wǎng)站地址通過QQ、論壇等方式轉(zhuǎn)貼,吸引用戶瀏覽,瀏覽后就會中毒;把艷照圖片跟病毒打包在一起,在論壇發(fā)帖稱”我有最全艷照合集“,讓網(wǎng)民留下郵箱,然后把帶毒圖片包發(fā)到網(wǎng)民郵箱里,網(wǎng)民打開瀏覽時就會中毒,還有的直接把木馬病毒偽裝成圖片的模樣,用戶瀏覽時就會中毒。

  目前,幾大搜索引擎的貼吧里,有關海運女的帖子已經(jīng)有數(shù)萬個,其中絕大多數(shù)是讓網(wǎng)民留下郵箱,發(fā)送圖片包的。還有的黑客趁機在熱門帖子后面跟帖,留下帶毒網(wǎng)站的鏈接,誘騙網(wǎng)民上當。

  5、微軟DirectShow爆嚴重漏洞,黑客利用該漏洞掛馬

  2009年6月,微軟公司向MAPP伙伴公布其DirectShow軟件中存在的一個嚴重漏洞,利用該漏洞的掛馬網(wǎng)站已經(jīng)在互聯(lián)網(wǎng)上出現(xiàn),用戶瀏覽這些網(wǎng)站后就會中毒。作為中國大陸地區(qū)的MAPP合作伙伴,瑞星公司在收到微軟提供的相關技術資料后,針對此漏洞進行了緊急分析,并通過”云安全“系統(tǒng)成功截獲了利用該漏洞的掛馬網(wǎng)站。

  據(jù)了解,微軟DirectShow漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時,可能導致遠程任意代碼執(zhí)行。攻擊者可隨意查看、更改或刪除數(shù)據(jù)或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻擊,Windows Vista和 Windows Server 2008的所有版本不容易受影響。

瑞星報告
圖23

  6、PDF網(wǎng)馬成為國內(nèi)近期較為流行的掛馬趨勢

  在以往的網(wǎng)馬解密分析中,惡意網(wǎng)址利用pdf漏洞網(wǎng)馬寥寥無幾。偶爾零星的也是在國外網(wǎng)馬分析中有pdf網(wǎng)馬身影。但是根據(jù)近期針對國內(nèi)網(wǎng)馬分析,發(fā)現(xiàn)了多起pdf網(wǎng)馬身影。

  根據(jù)6月份的瑞星每日安全播報分析的惡意網(wǎng)址來看,像類似http://2.hffangchan.com(合肥房產(chǎn)網(wǎng))、http://bbs.skyhu.com(火狐游戲網(wǎng))、http://www.china228.com/(好得網(wǎng))等被掛馬網(wǎng)站,在所掛惡意鏈接中均有pdf網(wǎng)馬,以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等兩個鏈接出現(xiàn)頻率最高,且出現(xiàn)有一個pdf網(wǎng)馬,使用網(wǎng)馬解密工具分析,出現(xiàn)截然兩種不同的網(wǎng)馬下載地址,使用相關的下載工具驗證下載,解密出網(wǎng)馬地址均為真實有效的可以下載的地址。雖然這個漏洞大概在2008年左右出現(xiàn),也是在近期分析國內(nèi)所掛惡意鏈接地址中,出現(xiàn)pdf網(wǎng)馬。這也充分說明了pdf網(wǎng)馬應該會在2009年下半年國內(nèi)網(wǎng)頁掛馬中,增加黑客牟利成功的砝碼。

  7、微軟最新視頻控件漏洞導致木馬爆發(fā)

  7月7日,瑞星公司發(fā)布橙色安全警報,微軟視頻控件(Microsoft Video ActiveX Control)漏洞導致的掛馬網(wǎng)站攻擊大幅增加,7月5日凌晨瑞星”云安全“系統(tǒng)首次監(jiān)控到利用該漏洞的攻擊代碼出現(xiàn),隨后的5日6日短短兩天內(nèi),監(jiān)測到130萬用戶遭到利用該漏洞的攻擊。

  瑞星安全專家分析,產(chǎn)生漏洞的原因是用戶系統(tǒng)中的msvidctl.dll組件不正確讀取持久化的字節(jié)數(shù)組,攻擊者可隨意覆蓋SEH或者RET,將EIP 設置成任意數(shù)值,結(jié)合javascript堆噴射方式可遠程執(zhí)行任意代碼,黑客不必讓用戶運行被惡意修改的視頻文件就可以進行掛馬攻擊。用戶一旦訪問被掛馬的網(wǎng)站后,就會自動觸發(fā)MPEG-2視頻組件的msvidctl.dll組件,然后運行黑客植入的網(wǎng)頁木馬,最終下載大量盜號木馬病毒,導致用戶電腦系統(tǒng)異常甚至藍屏,并盜取用戶網(wǎng)游賬號密碼等個人信息。

瑞星報告
圖24

  8、微軟Office漏洞導致大量掛馬網(wǎng)站

  7月13日,繼微軟視頻控件漏洞出現(xiàn)之后,微軟Office網(wǎng)絡組件遠程控制漏洞被黑客利用,進行掛馬攻擊。根據(jù)瑞星”云安全“系統(tǒng)監(jiān)測,5日內(nèi)已有133余萬臺電腦遭攻擊。北京時間14日凌晨,微軟已經(jīng)發(fā)布了針對該漏洞的通告。

  該漏洞危害全系列Windows系統(tǒng),黑客可利用該漏洞來構(gòu)建掛馬網(wǎng)站,用戶訪問這些網(wǎng)站后即會被感染,植入木馬下載器、盜號木馬等惡意程序。目前該漏洞沒有官方補丁,瑞星殺毒軟件2009、瑞星全功能安全軟件2009中的獨有”網(wǎng)頁防掛馬“模塊,采用”網(wǎng)頁腳本行為分析技術“,無需補丁即可有效攔截利用該漏洞的掛馬網(wǎng)站。

瑞星報告
圖25

  五、2009年上半年度惡意網(wǎng)站掛馬分析

  1、利用各種漏洞掛馬

  2009年上半年,黑客對于漏洞的利用趨勢沒有明顯轉(zhuǎn)變,其主要用途仍然在網(wǎng)頁掛馬上,如:Realplay 播放器漏洞、聯(lián)眾世界漏洞、暴風影音漏洞等。同時,針對漏洞出現(xiàn)的攻擊程序、代碼也呈現(xiàn)出目的性強、時效性高的趨勢。由于目前流行的各種熱門網(wǎng)站、客戶端軟件和瀏覽器,都存在著眾多漏洞和安全薄弱點,使得用戶遭到攻擊的渠道暴增;而且,隨著黑客-病毒產(chǎn)業(yè)鏈臻于完善,支撐互聯(lián)網(wǎng)發(fā)展的多種商業(yè)模式都遭到了盜號木馬、木馬點擊器的侵襲,使得用戶對于網(wǎng)絡購物、網(wǎng)絡支付、網(wǎng)游產(chǎn)業(yè)的安全信心遭到打擊。

  瑞星”云安全“系統(tǒng)監(jiān)測發(fā)現(xiàn),一旦出現(xiàn)微軟漏洞,很快會被惡意攻擊者廣泛采用來進行網(wǎng)頁掛馬活動:

  2009年2月,瑞星公司發(fā)出第一個紅色(一級)安全警報,因為針對IE7新漏洞(MS09--002)的病毒攻擊代碼在網(wǎng)上公布,導致利用該漏洞的新木馬病毒大量出現(xiàn)。從瑞星”云安全“數(shù)據(jù)中心統(tǒng)計看,該漏洞補丁發(fā)布日期前后的一段時間,惡意掛馬網(wǎng)站的數(shù)目以及攔截次數(shù)均有不同程度的漲幅。僅在2月19日就截獲了高達866萬人次的掛馬網(wǎng)站攻擊,比前一天增加了一倍之多。

  2009年6月,微軟DirectShow爆嚴重漏洞,黑客利用熱門視頻傳播木馬已成為慣用伎倆,而對”DirectShow視頻開發(fā)包“漏洞的利用則是在視頻播放時下載木馬,而視頻文件本身并不需要捆綁木馬,因此可以避開殺毒軟件和防火墻的防護,黑客可以通過在線播放”網(wǎng)頁掛馬“、 網(wǎng)友間視頻共享等多種途徑傳播木馬。該漏洞在播放某些經(jīng)過特殊構(gòu)造的QuickTime媒體文件時,可能導致遠程任意代碼執(zhí)行。攻擊者可隨意查看、更改或刪除數(shù)據(jù)或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。

  2、利用CSS掛馬

  隨著Web2.0技術以及Blog、Wiki等廣泛的應用,各種網(wǎng)頁特效用得越來越多,這也給黑客一個可乘之機。他們發(fā)現(xiàn),用來制作網(wǎng)頁特效的CSS代碼,可以用來掛馬。而比較諷刺的是,CSS掛馬方式其實是從防范IFRAME掛馬的CSS代碼演變而來。CSS掛馬方式,可以說是Web2.0時代黑客的最愛。

  在Web1.0時代,使用IFRAME掛馬對于黑客而言,與其說是為了更好地實現(xiàn)木馬的隱藏,倒不如說是無可奈何的一個選擇。在簡單的HTML網(wǎng)頁和缺乏交互性的網(wǎng)站中,黑客可以利用的手段也非常有限,即使采取了復雜的偽裝,也很容易被識破,還不如IFRAME來得直接和有效。

  但如今交互式的Web2.0網(wǎng)站越來越多,允許用戶設置與修改的博客、SNS社區(qū)等紛紛出現(xiàn)。這些互動性非常強的社區(qū)和博客中,往往會提供豐富的功能,并且會允許用戶使用CSS層疊樣式表來對網(wǎng)站的網(wǎng)頁進行自由的修改,這促使了CSS掛馬流行。

  注意:CSS是層疊樣式表(Cascading Style Sheets)的英文縮寫。CSS最主要的目的是將文件的結(jié)構(gòu)(用HTML或其他相關語言寫的)與文件的顯示分隔開來。這個分隔可以讓文件的可讀性得到加強、文件的結(jié)構(gòu)更加靈活。

  黑客在利用CSS掛馬時,往往是借著網(wǎng)民對某些大網(wǎng)站的信任,將CSS惡意代碼掛到博客或者其他支持CSS的網(wǎng)頁中,當網(wǎng)民在訪問該網(wǎng)頁時惡意代碼就會執(zhí)行。這就如同你去一家知名且證照齊全的大醫(yī)院看病,你非常信任醫(yī)院,但是你所看的門診卻已經(jīng)被庸醫(yī)外包了下來,并且打著醫(yī)院的名義利用你的信任成功欺騙了你。但是當你事后去找人算賬時,醫(yī)院此時也往往一臉無辜。

  據(jù)瑞星”云安全“監(jiān)測系統(tǒng)顯示,每天約有30%的網(wǎng)民上網(wǎng)時會遇到掛馬網(wǎng)站。這些掛馬網(wǎng)站中80%以上屬于管理不嚴的正規(guī)網(wǎng)站,其中包括門戶網(wǎng)站、娛樂網(wǎng)站、市場經(jīng)濟形勢網(wǎng)站、網(wǎng)絡論壇、游戲網(wǎng)站等(如下圖),用戶訪問這些網(wǎng)站就會中毒。顯而易見,越來越多的惡意攻擊源自利用CSS掛馬的合法網(wǎng)站。

瑞星報告
圖26

  3、利用”熱點信息“傳播牟利

  瑞星”云安全“系統(tǒng)監(jiān)測發(fā)現(xiàn),只要公眾關注某一話題,黑客就會”如影隨行“, 目的就是通過掛馬實現(xiàn)病毒感染、控制肉雞、盜號、提高網(wǎng)站點擊率等等以達到其最終的經(jīng)濟利益。

 。1)杰克遜病逝新聞引網(wǎng)民關注 娛樂網(wǎng)站大量被“黑”

  隨著《變形金剛2》的熱映與邁克爾·杰克遜病逝等事件成為廣大網(wǎng)民關注的熱點,大量網(wǎng)民訪問視頻網(wǎng)站收看預告片或追憶明星生前的經(jīng)典影音。這些視頻網(wǎng)站很快就被黑客瞄上了。更有甚者,一些木馬病毒還偽裝成殺毒軟件,欺騙用戶付費。”殺軟偽造者木馬“Trojan.Win32.FakeAV.ri)就是其中之一。該病毒是一個假冒殺毒軟件的欺騙程序,病毒會把自身偽造成一個正常的殺毒軟件,在桌面和開始菜單生成快捷方式。無論用戶電腦是否有病毒,偽造的殺毒軟件都會提示掃描到病毒,騙用戶殺毒,使用戶更容易上當注冊。當用戶使用偽裝的”清除病毒功能“時,會連接指定網(wǎng)站進行注冊并對指定網(wǎng)站進行流量點擊。

  (2)黑客瞄準購物網(wǎng)站,傳播盜號病毒

  ”網(wǎng)購“已成為時值人們最流行的購物方式,黑客也虎視眈眈的瞄準了購物網(wǎng)站,瑞星”云安全“系統(tǒng)就從截獲的掛馬網(wǎng)站中發(fā)現(xiàn),多家禮品購物網(wǎng)站被駭客惡意掛馬,E搜禮品網(wǎng)站幾乎每個網(wǎng)頁都被掛上了木馬病毒,用戶一旦點擊被掛馬的網(wǎng)頁就有可能被木馬入侵,而這些木馬病毒有90%以上都是盜號病毒,黑客通過獲取到的賬號,轉(zhuǎn)移用戶資金,嚴重威脅用戶網(wǎng)上銀行資金安全

  4、網(wǎng)頁掛馬更具隱蔽性和智能化

  通過對瑞星云安全攔截的惡意網(wǎng)址進一步分析,發(fā)現(xiàn)惡意網(wǎng)址更加具有隱蔽性,一般惡意網(wǎng)址鏈接,最少通過3次跳轉(zhuǎn) ,最多也就7—8次跳轉(zhuǎn),分析出最終網(wǎng)馬地址。而在近期網(wǎng)馬解密分析中,有出現(xiàn)惡意地址經(jīng)過多次跳轉(zhuǎn),要經(jīng)過層層分析,最終才能解密出最終網(wǎng)馬地址。而這些都是源于系統(tǒng)漏洞、后臺服務器存在不安全設置、網(wǎng)站實現(xiàn)代碼缺陷(如SQL注入、論壇代碼缺陷、跨站腳本等)、或網(wǎng)站提供Web服務的程序漏洞、IIS漏洞、Apache漏洞等隱患,給黑客可乘之機;其中訪問量越大的網(wǎng)站越有被掛馬的可能,因為此類網(wǎng)站被黑客關注程度較高;另外政府機關網(wǎng)站、各大中型企業(yè)網(wǎng)站,由于專業(yè)性技術人員缺乏,網(wǎng)站大多由第三方公司外包開發(fā),存在缺陷較多,也最容易被掛馬。

  近期,對瑞星”云安全“截獲的惡意網(wǎng)址進行分析,發(fā)現(xiàn)惡意鏈接為:”<http://3b3.org/c.js>“極為猖獗,分析其js腳本程序,其中有針對gov.cn、edu.cn這兩個域名判斷,如果是gov.cn和edu.cn就不嵌入掛馬網(wǎng)址,即對政府和教育類域名屏蔽掛馬網(wǎng)址,可見黑客團伙的網(wǎng)頁掛馬技術已日趨智能化和產(chǎn)業(yè)化。

瑞星報告
圖27

  5、瑞星掛馬網(wǎng)站攔截功能

  以”海運女艷照“被黑客惡意掛馬為例,黑客利用此焦點事件傳毒的事件有增多的趨勢,如果安裝了”瑞星殺毒軟件2009“或”瑞星全功能安全軟件“,當網(wǎng)民瀏覽帶毒論壇、網(wǎng)站時,瑞星2009會立即提示網(wǎng)頁存在惡意代碼,并顯示病毒名稱,如下圖。

瑞星報告
圖28

  再以09年6月28日”中國票務網(wǎng)(htxxp://www.piao.com/)被植入惡意代碼為例。用戶訪問該頁面將被安裝木馬病毒等惡意程序,可以導致電腦被黑客控制并且被竊取敏感信息。【MalUrl:htxxp://www.piao.com/c_lvyou/index.asp】,安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會立即提示網(wǎng)頁存在惡意代碼,并進行攔截,如下圖。

瑞星報告
圖29

瑞星報告
圖30

  六、針對2009年下半年惡意網(wǎng)站安全威脅提示

  高度警惕網(wǎng)頁掛馬,雖然從瑞星“云安全”中心數(shù)據(jù)顯示,6月掛馬網(wǎng)站存在下降趨勢,但由于這種傳播方式歷史悠久、感染成功率高,病毒團伙絕不會這樣放棄。隨著暑期臨近,學生用戶網(wǎng)游娛樂和旅游休閑的頻次大幅上升,網(wǎng)游相關下載、旅游網(wǎng)站訪問和數(shù)碼相機等存儲介質(zhì)的使用,給遠程控制木馬的傳播提供了可乘之機。一旦用戶感染這些后臺木馬,就會淪為病毒團伙控制的“肉雞”,成為其實施網(wǎng)絡犯罪的工具,并威脅到您自身的隱私和財產(chǎn)安全,請您及時安裝和升級您的安全軟件。

  大型網(wǎng)站不等于安全網(wǎng)站,在2009年上半年瑞星“云安全”攔截惡意網(wǎng)址中,有不少政府的類網(wǎng)站被掛馬,這也應該會成為下半年網(wǎng)頁掛馬流行趨勢,傳統(tǒng)上,網(wǎng)民們有如下錯誤觀念:只有不良網(wǎng)站才會帶毒、才會被掛馬,只要堅持良好的瀏覽習慣,就可以躲避盜號木馬的侵襲。統(tǒng)計數(shù)據(jù)表明,這樣的觀念已經(jīng)過時,黑客也已轉(zhuǎn)移目標,改變策略,不僅僅瞄準一些不知名網(wǎng)站,那些所謂的“正常網(wǎng)站、大中型網(wǎng)站”正在整個木馬鏈條中發(fā)揮著越來越重要的作用,如政府便民類網(wǎng)站、體育明星、影視明星類網(wǎng)站也將成為黑客垂涎三尺的肥肉。

  針對以上不安全因素,瑞星專家建議廣大網(wǎng)民采取以下措施:

  1、安裝瑞星全功能安全軟件2009,其中獨有的“木馬入侵攔截”功能,能通過對掛馬網(wǎng)頁行為的監(jiān)控,阻止木馬入侵用戶電腦,將木馬病毒攔截在電腦之外。其強大的殺毒引擎,可以徹底殺滅新型感染型病毒與木馬。

  2、安裝“瑞星個人防火墻2009”,它集成國內(nèi)最大的“木馬網(wǎng)址庫”,并且每天升級云安全系統(tǒng)捕獲的掛馬網(wǎng)站網(wǎng)址,可以第一時間攔截掛馬網(wǎng)站。

  3、利用瑞星卡卡的“漏洞掃描與修復”功能,可以幫網(wǎng)民修復系統(tǒng)漏洞,阻止掛馬網(wǎng)站利用各種漏洞進行侵襲。

  4、養(yǎng)成良好上網(wǎng)習慣,高度警惕網(wǎng)絡詐騙,不觀看各類不良視頻,不訪問不健康網(wǎng)站。

分享到:
本文網(wǎng)址:
關于我們 | 公司新聞 | 行業(yè)資訊 | 人力資源 | 網(wǎng)絡營銷 | 推廣案例 | 實例欣賞 | 智能模板 | 常用工具 | 桐源信息 | 友情鏈接 | 網(wǎng)站地圖
鄭州桐源計算機科技有限公司 版權(quán)所有
地址:河南省鄭州市東風路科技市場 郵編:450000
電話:13303858500 郵箱:yhxwin@qq.com 備案許可證:豫ICP備09042324號
工商執(zhí)照公示:914101056897296506