2007年上半年恶意软件近三成来自中国！（2）

　上面的图片显示了网页中的一部分，该网页包含已加密网页浏览器漏洞。大多数包含网页浏览器漏洞的站点会使用一些模糊化技术，其目的是避免基本的可以通过扫描TCP/IP流的 IDS检测，这些扫描的类型是已知的，也相当于简单基于代码的反病毒系统，该漏洞代码一旦被解密，将进行分析：

　　
　　 图4. 解密攻击程序部分画面(Trojan-Downloader.JS.Agent.ep)

　　既然如此，恶意代码试图加载具有很长名称的“.WMV”文件，这是Windows Media Player插件 EMBED溢出漏洞（在微软Windows 安全公告MS06-006－说明“Windows Media Player 插件由于其处理格式错误的 EMBED 元素而存在一个远程执行代码漏洞(911564)）。现今浏览器回将此类要求传送到Windows Media Player，一旦检测到漏洞，将导致系统崩溃。有趣的是，即使系统已经更新到网页浏览器的最新版本，如果Windows Media Player有漏洞，系统仍然可以被感染。

　　如以上所述，恶意程序有两种主要的方法通过网络入侵受害者计算机：通过利用社会工程学或者网页浏览器漏洞。不过您也无需感到惊讶，因为在大多数情况下，恶意程序作者依靠这两种方法结合来提高入侵成功率。

　　上面提到的例子Zhelatin就是利用了这两种技术的结合，传播该蠕虫的后台程序似乎使用PHP语言编写，恶意网页在给用户前要做很多事情。最重要的是，它要检查浏览器User-Agent标识符，假如该标识符不常见，如苹果操作系统中的Safari或Linux中的Lynx，将使用社会工程学技术发布网页。假如浏览器标识符看起来属于Internet Explorer，如“Mozilla/4.0”(和MSIE 6.0; Windows NT 5.1相兼容)，它将发布包含特殊IE攻击程序的网页，在Firefox中也是如此。

　　前20位恶意软件来源国家

　　恶意软件来自哪里呢？要回答这个问题，很有必要来回顾一下黑客操纵恶意软件的解决方案。

　　今天已经发现了大量猖獗的恶意软件，他们的传播方式很多。可以在入侵的家庭计算机上发现其踪影，他们通过运行少量http服务的计算机的僵尸入侵计算机并将其变为传播点。也可以在一些被黑客攻击的ISPS网站上发现。这对于提供给用户免费网页空间来建立自己的网站是常见的选择，如www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru or www.home.ro等。

　　也有一些情况是使用偷窃来的信用卡去合法网络提供商那里购买域名和主机资源，目的是传播恶意软件。

　　今年早些时候，一个中等规模的托管公司遭受了黑客的攻击，黑客利用控制面板版本的漏洞获得了托管在该公司服务器上所有帐号权限，该攻击者检查了入侵计算机上的所有网站的主页，利用IE漏洞加入了一小段脚本语言，黑客还安装了恶意软件，包含隐藏程序。在类似攻击事件中，二月份超级杯海豚体育场网站被黑客攻击，在网页源代码中注入了漏洞。或许近期出现的是印度银行网站被攻击事件，该事件发生在2007年8月底，在这次攻击中，主页代码被修改，在其中加入了一个IE IFRAME漏洞，这样可以进一步有利于恶意软件传播。