报告概要：

　　根据瑞星“云安全”数据中心的统计数据，2009年1月至3月，瑞星“云安全”系统拦截到的挂马网页数累计达1亿9千多万个，共有8亿人次网民遭木马攻击，平均每天有889万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有24202个，比去年同期有大幅度增长，挂马网站已经成为威胁国内互联网安全的主要因素。

　　注：“木马网站”是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中并运行。“挂马网站”指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。“木马地址”指的是木马病毒真正的网络下载地址。

　　由于黑客针对大型网站、流行软件进行挂马，使得单个木马网站攻击网民的数量有上升趋势，据统计，第一季度排行前两位的木马网站攻击网民数量都超过了86万。由于现在黑客通常在每个挂马网站上放多个木马，这使得单个木马的感染网民数很高，排行第一的木马感染了144万人次的网民。

　　从木马网站域名类型的统计来看，CN域名是黑客挂马最热门的类型。第一季度，有85.5%的木马网站使用CN域名，其后依次.com、.org、.net、.com.cn。

　　另外，瑞星“云安全”系统还统计了网民被挂马网站攻击成功时使用的软件，主要是各种浏览器，以及内嵌了网页的流行软件。从统计数据可以看出，IE浏览器在该项统计中名列第1，腾讯TT、遨游、世界之窗、360浏览器分列2至5位。另外，还有其他应用程序进程，如KuGoo.exe等。

　　注：此统计反映的是木马侵入成功之后的软件进程，因此和使用者数量、浏览器的安全性密切相关。例如，如果网民访问某挂马网站，他安装的瑞星全功能安全软件2009、瑞星卡卡等产品会把网站中的木马拦在电脑之外，使用户的机器就不会被侵入，仅上报拦截结果，作为统计数据参考。

　　根据瑞星“云安全”系统的统计，北京、广东、浙江是木马网站数量最多的三个省，其中有34%的木马网站服务器位于北京市。而广东、北京、湖南是受网民受木马影响最为严重的省，网民数量越多的省受影响越严重。

　　另外，瑞星“云安全”系统还统计了目前木马的“寿命”(在互联网上存在的时间)。根据统计数据，第一季度的十大木马网站中，寿命最短的1天，最长的是5天。而且，其寿命长短与攻击威力不成正比。比如710sese.cn网站，寿命仅仅为一天，其攻击的网民数量就达到了224万。

　　瑞星公司的统计研究表明，目前的互联网非常脆弱，各种流行软件、社交(SNS)网站、浏览器插件的漏洞层出不穷，为黑客提供了大量入侵和攻击的机会。网页取代网络成为攻击活动的主要渠道，“网页挂马”已经成为黑客传播病毒的主要手段。目前90%以上的木马病毒通过“挂马”方式传播。ARP欺骗、IM工具自动发送病毒链接等传播手段，往往也通过网页挂马最终侵入用户电脑。

　　免责声明：

　　本报告综合瑞星“云安全”数据中心的统计，仅针对中国大陆地区2009年第一季度拦截的木马网站数据进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用，如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。

　　目 录

　　一、2009年第一季度挂马网站疫情概要 3

　　二、2009年第一季度挂马网站数据统计 4

　　1、挂马网站截获量统计 4

　　2、挂马网站平均访问人次的统计 4

　　3、木马网站Top10排行 4

　　4、木马地址拦截量统计 5

　　5、木马地址Top10排行 5

　　6、木马网站域名的类型统计 6

　　7、挂马网站利用不安全软件的次数统计 6

　　8、恶意网站地区分布数量统计 7

　　9、各个地区受恶意网站影响程度排行 8

　　三、挂马网站疫情及案例分析 8

　　1、挂马网站快速增长的因素 8

　　2、挂马网站的寿命分析 10

　　3、票务中国被黑客恶意挂马 11

　　4、“猎杀者外挂”被挂马 12

　　5、“极品时刻表”被挂马 13

　　6、酷狗两次挂马事件 13

　　7、黑客网站明码标价 “买主”按台数购买染毒电脑 14

　　四、挂马网站趋势分析 15

　　1、利用各种漏洞 15

　　2、针对合法信赖的网站 15

　　3、利用“肉鸡”牟利 16

　　4、瑞星挂马网站拦截功能 16

　　一、2009年第一季度挂马网站疫情概要

　　瑞星“云安全”数据中心的统计表明，2009年第一季度截获的挂马网站(网页数量)总数目为197676188个，平均每天截获2196402个;挂马网站攻击总次数800412435次，平均每天遭遇攻击次数达8893471;其中确定是大型网站被挂马的“挂马网站”总数为24202个，平均每天有268个大型网站被挂马，2009-1-7当天拦截的“挂马网站”高达1011个。

　　二、2009年第一季度挂马网站数据统计

　　1、挂马网站截获量统计

　　瑞星“云安全”数据中心2009年1月至3月的监测数据，统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量，截获到的挂马网站(以网页个数统计)数目总计197676188个，拦截次数总计800412435次。

　　2、挂马网站平均访问人次的统计

　　2009年1月1日至3月31日，瑞星“云安全”数据中心已拦截到800412435人次访问挂马网站，每天平均访问人次达8893471次。也就是说，平均每天有889万余人次网民访问过恶意网页。

　　3、木马网站Top10排行

　　排行首位的木马网站被拦截的次数867912次;第二名的木马网站被拦截次数为86万余次;第十名的拦截次数也达到61万余次。

　　4、 木马地址拦截量统计

　　“木马地址”是指可以直接下载木马病毒的URL网址，从瑞星“云安全”数据中心第一季度统计看，被拦截的木马地址数目为398966个，去掉重复地址后的数目是10947个，拦截次数共20394247次。

　　5、木马地址Top10排行(十大木马排行)

　　排名第一的木马地址被拦截次数达到144万余次，前三位的木马地址拦截次数均超过111万次，第十名的木马地址拦截次数也达到58万次。

　　6、木马网站域名的类型统计

　　瑞星“云安全”数据中心截获的数据表明，2009年第一季度被拦截的木马网站域名类型排行如下图，排名第一是【.cn】，拦截量竟然高达151077922，前五名中排名紧随其后的域名依次为【.com】、【.org】、【.net】、【.com.cn】。由此可见，这几个域名都是黑客们最热衷“光顾”的。

　　7、挂马网站利用不安全软件的次数统计

　　瑞星“云安全”数据中心还记录了访问挂马网站的进程，以及利用不安全进程访问的挂马网站数量。从下图可以看出，使用浏览器访问挂马网站的数量最多，IE名列第一，腾讯TT和遨游紧随其后。另外，还有其他应用程序进程，如KuGoo.exe等。

　　注：非浏览器软件被挂马，往往是因为其中内嵌的IE网页被植入木马。例如酷狗、极品时刻表等。

　　8、恶意网站地区分布数量统计

　　2009年1月～3月恶意网站地区分布比例统计如下图，本数据显示恶意网站服务器实际存在的地理位置，以IP地址为准。通常情况下，多个木马网站URL会存在于同一IP地址，因此该数据的量级会远远小于实际的木马网站数量。

　　注：本图数据包含了钓鱼网站、诈骗网站、木马网站的总体数据，因此称为“恶意网站地区分布”。

　　9、各个地区受恶意网站影响度排行

　　在各省疫情方面，广东省以8%的数量领先，北京、湖南、江苏、山东等省市紧随其后。从统计数据来看，各省网民受恶意网木马网站几乎没有差距，上网计算机保有量是疫情地区差别最重要的原因。

　　三、挂马网站案例分析

　　1、挂马网站增长的因素

　　近几年，基于挂马的的恶意网站增长有很多因素，一是现有主流浏览器及其插件存在大量漏洞，二是应用软件安全漏洞层出不穷，如：Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时，针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。

　　瑞星“云安全”系统监测发现，一旦出现微软漏洞，很快会被恶意攻击者广泛采用来进行网页挂马活动。2月20日，瑞星公司发出2009年度第一个红色(一级)安全警报，因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布，导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看，该漏洞补丁发布日期前后的一段时间，恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。

　　由于该类木马病毒的暴增，根据瑞星“云安全”系统的统计，仅在2月19日就截获了高达866万人次的挂马网站攻击，比前一天增加了一倍。从瑞星“恶意网站监测网(http://mwm.rising.com.cn/)”上可以看到，利用该漏洞的挂马网站拦截量直线上升，已升为当时危害最严重的漏洞。

　　微软公司3月20日向所有开放Internet Explorer 8(简称IE8)免费下载，虽然微软官方声称IE8给用户上网提供了更简化的操作和更安全的功能，但其安全性仍存在严重问题，用户上网仍会被挂马、钓鱼网站所威胁。经过瑞星安全专家测试，使用IE8浏览器过程中，目前互联网上泛滥的挂马网站和钓鱼网站是无法有效拦截防御的。测试分别访问了2009-taobao.com这个冒充淘宝网(正确网址www.taobao.com)的钓鱼网站和http://www.fc5656.****s.htm挂马网站均无法拦截。

　　2、挂马网站寿命分析

　　“挂马网站寿命”是指网站从开始被挂马到挂马被消除(或被拦截)的时间间隔。关于这个“寿命”的问题越来越值得重视，因为挂马网站寿命越长，可能传播及受害面就越广，受到安全威胁的用户数量就越多。瑞星“云安全”数据中心截获的数据表明，截获次数最多的前十名挂马网站短的1天，最长的寿命是5天。挂马网站寿命终结的原因可能有几种：一是该网页被具有防挂马功能的安全软件拦截;二是该网页的恶意代码被网站管理员清除;三是黑客自己撤掉该网页中的恶意代码;四是该网页已关闭无法访问。

　　瑞星“云安全”数据中心统计数据还表明，“挂马网站寿命”和受攻击人次并不成正比，也就是说，寿命短的“挂马网站”侵害用户数量并不少。比如http://***.710sese.cn/***/ss.htm寿命仅短短的1天，期间就有2244051人次受到攻击，被拦截次数的排名迅速跃居到第一位。

　　参加瑞星“云安全”计划，可以缩短挂马网站的寿命。瑞星“云安全”数据中心于2009年1月16日第一次监控到木马网站http://%%%%.706sese.cn，发现在一天之内有1301018人次网民受到攻击。监控数据表明，它的寿命长达约两个月，一直持续到3月11日。但是，对于加入“云安全”并及时升级瑞星软件的用户来说，这个网站的“寿命”仅为1天!原因是，由于瑞星迅速将其加入挂马网站库，基于“云安全”技术的瑞星全功能安全软件和瑞星个人防火墙便可以自动拦截该挂马网站。瑞星“云安全”数据中心统计表明，在这之后瑞星自动拦截该恶意网木马网站高达4080776次，为广大网民提供了强有力的安全防护。

　　3、票务中国被黑客恶意挂马

　　2009年1月21日，流行票务网站“票务中国(http://www.piaocn.com/)”被黑客恶意挂马，网页中被植入恶意代码，代码位于域名为http://####.706sese.cn的服务器上。用户一旦访问该网站订票，就会被下载大量盗号木马病毒，从而导致网游、网银或QQ账号密码丢失。当时，挂马网站706sese已经名列挂马网站排行榜第一位，一周内侵袭了144万人次网民。

　　(票务中国被挂马)

　　票务网站、电影下载网站已经成为黑客挂马的重灾区，占据了近期所有类型挂马网站的80%以上。由于此类网站在节日期间的访问量巨大，中毒用户的数量将不在少数。

　　每当国庆、元旦、春节、圣诞节这样的大型节日临近，网民们会通过网上订票等方式丰富自己的节日生活，或通过互联网查询并购买回家的机票、查找自己感兴趣的网游外挂，或下载喜欢的电影或游戏。黑客正是瞄准了这个机会，通过恶意挂马，使很多网民经常访问的网站被黑，最终使用户电脑中毒，经济利益受损。

　　4、“猎杀者外挂”被挂马

　　2009年3月2日，瑞星“云安全”系统截获的数据表明，网游玩家中流行的“猎杀者外挂”程序被黑客挂马，截至当天17时为止，瑞星已拦截到59169人次网民访问该带毒网页。

　　根据瑞星公司技术部门分析，被植入木马的网页为猎杀者外挂内嵌的网页，玩家在使用猎杀者外挂之后，会自动打开那个被挂马的网页。由于该外挂使用者众多，因此访问量非常大，在短短的时间之内，才侵袭了如此多的玩家。

　　据了解，猎杀者外挂被植入的木马地址为http://***.230it.cn/，该恶意网木马网站当日拦截的挂马网站的22.91%。玩家一旦访问了被挂马的网页，电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒，对玩家的利益造成严重影响。

　　5、“极品时刻表”被挂马

　　2009年3月9日，瑞星“云安全”系统提供的数据表明，网民中流行的“极品时刻表”软件被黑客挂马，截至当天19时为止，瑞星已拦截到66757人次网民遭到攻击。极品时刻表内嵌的网页被黑客植入木马，当用户使用该软件查询列车车次时，就会遭到攻击。

　　(点击“查询”按钮之后，该软件自动打开的内嵌广告页带毒)

　　被植入木马的网页为极品时刻表内嵌的广告网页，用户在使用“查询”功能之后，该软件会自动打开那个被挂马的网页。该网页中使用了多个常用软件的流行漏洞，如果用户没有做好相应的防护，很容易中毒。

　　据了解，极品时刻表被植入的木马地址为http://***.6t65r.cn/，该恶意网木马网站量在那几天上升极快，可能黑客还把该网页植入了其它常用网站或软件当中。玩家一旦中毒，电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒，从而带来极大的安全风险。

　　6、酷狗两次挂马事件

　　从监测数据看，酷狗在2009年2月25日曾被挂马，当天截获到KuGoo.exe访问挂马网站的数量为337519，第二天2月26日为480800，那一次挂马的“寿命”长达两天，直到2月27日才清除了挂马。3月14日通过KuGoo.exe进程访问挂马网站数据量暴增，为724381，达到平时访问量的30倍之多，那次挂马持续了一天，3月15日被清除恢复正常，当天显示数量下降至18964。

　　以3月14日为例，最早在3月14日凌晨4点19分酷狗论坛上就有用户反馈酷狗被挂马，直至当天中午11点47分仍有类似的帖子出现。恶意网木马网站为的“寿命”越长，传播和受害面就越广。尤其是没有安装网页木马拦截功能的软件的这部分用户，丝毫察觉不到自己的计算机已遭到攻击、入侵。一旦木马病毒下载后自动运行，信息安全就受到严重威胁。

　　7、黑客网站明码标价 “买主”按台数购买染毒电脑

　　2009年3月18日，瑞星通过“云安全”系统截获一个黑客建立的染毒电脑销售网站(http://121.***.127.73/)，登陆这个网站，就可以看到他们总共控制了多少台染毒电脑(或称“肉鸡”)、染毒电脑的IP地址等详细数据。这是黑客用来向“客户”销售“肉鸡”的网站，“客户”可以选择“肉鸡”的IP地址，然后按照台数和控制时间等等条件付款，获得这些“肉鸡”的控制权。

　　从目前该网站的数据来看，该黑客至少已经控制了34795台电脑，并以每天150台左右的速度增长。下图中的“安装总数量”就是黑客控制的染毒电脑台数;下面的“最后30台安装者”中，可以看到染毒电脑的IP、中毒时间等数据。

　　所谓“肉鸡”就是被黑客控制的电脑，黑客在这些电脑中植入木马、后门等病毒，或者利用电脑的不安全设置(如管理员账号密码过于简单、系统存在漏洞、未安装杀毒软件等)等条件，在用户未察觉的状况下远程控制这些电脑，进行各种非法操作，国内非常著名的“灰鸽子”病毒就是典型的后门程序。

　　( 某“后门”程序控制端界面)

　　四、恶意网站挂马分析

　　1、利用各种漏洞

　　2009年第一季度，黑客对于漏洞的利用趋势没有明显转变，其主要用途仍然在网页挂马上，包括RealPlayer、迅雷、PPlive等流行软件都出现过严重漏洞，被黑客利用传播木马。

　　由于目前流行的各种热门网站、客户端软件和浏览器，都存在着众多漏洞和安全薄弱点，使得用户遭到攻击的渠道暴增;而且，随着黑客-病毒产业链臻于完善，支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭，使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。

　　瑞星专家提醒说，现在的木马病毒绝大多数通过漏洞传播，而且多数木马病毒运行时没有明显的异常特征，用户很难及时发现自己已经中毒。只要用户电脑上的漏洞存在，访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件，也只能在病毒入侵时拦截，风险比弥补漏洞之后会高许多倍。

　　2、针对合法信赖的网站

　　门户网站、Web2.0以及搜索类网站代表了当前网站的典型形式，同时也成为黑客们关注的焦点。借助这些网站庞大的数据库、良好的信誉和对Web2.0应用的有力支持，这些网站拥有高可信赖度和良好的信誉，为那些恶意程序的制造者创造了大量的机会。传统上，网民们有如下错误观念：只有不良网站才会带毒、才会被挂马，只要坚持良好的浏览习惯，就可以躲避盗号木马的侵袭。统计数据表明，这样的观念已经过时，那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。

　　瑞星公司的抽样统计显示，每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站，其中包括新闻网站、网络论坛、博客网站等。多个主流门户网站首页悬挂的广告中被植入木马病毒，用户访问这些网站就会中毒。显而易见，越来越多的恶意攻击源自合法可信赖的网站。

　　3、利用“肉鸡”牟利

　　黑客利用“肉鸡”一般有以下几种方式：

　　(1)黑客一旦控制了“肉鸡”，就可以很方便地从该电脑中盗取用户的隐私信息。如网银、网游、聊天工具等软件的账号密码，以及私人文档、照片等;

　　(2)控制摄像头进行偷拍。很多游戏玩家和下载狂人的电脑经常是24小时开机，如果摄像头没有拔掉，就会被黑客偷拍，进行网上公布、甚至敲诈勒索。

　　(3)帮助某些流氓厂商提高安装量或点击率。黑客可以在“肉鸡”中安装大量的插件或流氓软件，疯狂点击或弹出广告，从广告主那里收获广告费;

　　(4)将“肉鸡”直接出卖给从事盗号或其他非法目的的人;

　　(5)黑客控制了一定数量的“肉鸡”，同时自动刷新访问某个网站，提升该网站的访问量、造成网站瘫痪(DDos攻击)，或者使某个网站服务器、防火墙瘫痪，国内很多游戏厂家曾经就受到过这种攻击，并被勒索。

　　此前央视3·15晚会上曝光的网上出售的个人信息，有很多就是通过这种途径窃取来，挂马网站已经成为个人信息泄露的重要途径之一。

　　建议网民采取以下措施，让电脑避免成为“肉鸡”：

　　l 设置复杂系统管理员密码，通常建议设为8位以上数字、字母、符号的组合;

　　l 关闭危险的端口(TCP137、445、3389和UDP135、139、445、)和没有必要的服务;

　　l 及时更新系统和第三方软件的漏洞;

　　l 安装并及时升级杀毒软件和防火墙;

　　l 经常检查系统日志、服务、注册表等相关项。

　　4、瑞星挂马网站拦截功能

　　以“票务中国(http://www.piaocn.com/)”被黑客恶意挂马为例，如果安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”，当网民浏览挂马网站时，瑞星2009会立即提示网页存在恶意代码，并显示漏洞名称，如下图。

　　再以“极品时刻表”被挂马为例，被植入木马的网页为极品时刻表内嵌的广告网页，用户点击“查询”按钮之后，该软件会自动打开那个被挂马的网页。安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”会立即提示网页存在恶意代码，并显示病毒名称，如下图。因为其独有的“木马入侵拦截”功能可以拦截挂马网站带有的木马。

　　“瑞星杀毒软件2009”、“瑞星全功能安全软件”产品都拥有挂马网站拦截功能，可以自动拦截网页中带有的挂马网站，在木马进入用户电脑之前即将其拦截。