2008年9月份互联网挂马报告

    报告关键字：

　　ActiveX控件

　　ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX 被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。

　　第三方应用程序

　　第三方应用程序主要是指运行在操作系统上，方便用户进行文档处理、浏览下载、影音播放等日常操作的非操作系统运行必需软件。

　　网马及其利用的第三方应用程序漏洞

　　攻击者构造一个恶意网页，在这个网页中加载带有漏洞的ActiveX控件。通过向这个ActiveX控件提供的函数提交恶意构造的参数，致使ActiveX控件溢出，从而下载并执行恶意参数中指向的恶意程序。这个网页就称做“网马”。

　　网页加密

　　通过对网页源代码进行某种变换(将字符转换为相对应的ASCII码、将字符以某种函数映射为其他字符等)，使其不能被直接识别为逻辑语句的方法，叫做网页加密。对整个网页或部份网页代码进行加密，主要是为了防止作者的代码被盗用。然而现今各种网页加密技术则主要是用来对“网马”代码进行“保护”。因为经过加密的“网马”代码已经“面目全非”，这样就可以使“网马”不被一些通过特征码进行匹配的杀毒软件或安全工具所查杀。

　　网马生成器

　　网马生成器是一种生成网页木马的程序。它会针对相应的漏洞自动生成相应的网页木马，使用者不须要知道漏洞形成的原理、漏洞利用的代码、网页加密技术等相关知识。只要运行网马生成器，选择其需要的功能前的复选框并输入要执行的恶意程序的链接，然后点击“生成”按钮，若干网页木马就会生成在指定的目录中。

　　畅游巡警

　　“畅游巡警”是数据安全实验室(DSWLab)2008年出品一款优秀的免费产品，其设计融入了国际一流的网页病毒查杀技术，拥有功能强大、高效准确的恶意网站识别与报警能力。其具备成熟的未知智能防御系统，对于未收录进数据库的网页病毒进行动态分析、实时阻止及清除。有效避免网页病毒、恶意网页、恶意下载、钓鱼网站等威胁，帮助用户安全、高效使用互联网资源。

　　GDI

　　GDI是Graphics Device Interface的缩写，含义是图形设备接口，它的主要任务是负责系统与绘图程序之间的信息交换，处理所有Windows程序的图形输出,主要负责在显示屏幕和打印设备输出有关信息。在 Windows操作系统下，绝大多数具备图形界面的应用程序都离不开GDI，我们利用GDI所提供的众多函数就可以方便的在屏幕、打印机及其它输出设备上输出图形，文本等操作。GDI的出现使程序员无需要关心硬件设备及设备驱动，就可以将应用程序的输出转化为硬件设备上的输出，实现了程序开发者与硬件设备的隔离，大大方便了开发工作。

　　GDI+

　　GDI+是以前版本GDI的继承者，出于兼容性考虑，Windows XP仍然支持以前版本的GDI，但是在开发新应用程序的时候，开发人员为了满足图形输出需要应该使用GDI+，因为GDI+对以前的Windows版本中GDI进行了优化，并添加了许多新的功能。

　　VML

　　矢量标记语言 (VML) 是一种基于 XML 的交换、编辑和交付格式，用于 Web 上高质量矢量图像，以便满足生产力用户和图形设计专业人员的需要。 XML 是一种简单、灵活和基于开放文本的语言，是 HTML 的补充。系统会通过调用VGX.dll中函数操作VML。

　　一、2008年九月份网页木马整体分析

　　2008年9月份网页木马并没有出现像各种安全报告中预测的急骤增长。其整体趋势相对平稳，并在小幅波动中呈现下降趋势。

　　各类网马每日上报数量图如下：

　　图1　9月份上报网马数量图

　　从图中可以看出，只有16日的上报量有了大幅上涨，其他的连续时间内基本保持平稳状态。利用06014漏洞的上报量明显多于其他相关漏洞。大多数的其他漏洞每日都在10000条以下。

　　主要的恶意网站域名如下图：

　　9月份挂马网站域名分布区域如下图所示：

　　图3　网马分布图(“其他”中包括除图中所列主要地区外的其他地区)

　　本月网站上报详细数量前15名及其网站所在区域如下：

　　由于国内有关部门加大了网络监管的力度，许多恶意网站的域名所在地指向了国外(以美国为主)。

    二、2008年9月份网页木马利用的相关漏洞分析

　　1、网马利用主要漏洞分布

　　图4　网马利用主要漏洞分布图

　　2、GDI+漏洞

　　在微软9月份的安全公告中，公布了4个级别为“严重”的安全漏洞。其中MS08-052指出GDI+ 中的漏洞可能允许远程执行代码 (954593)。由于GDI+在系统及应用程序中经常被调用，所以这个漏洞的潜在危害非常大。

　　经过对该漏洞的分析与测试，并参考了网络上许多相关分析。超级巡警团队在第一时间推出了GDI+漏洞的修复工具，让用户的计算机系统防患于未然。虽然并未监测到利用该漏洞的大范围挂马事件，但是考虑到该漏洞的潜在危害，超级巡警推荐广大网友使用修复工具及时修复该漏洞并安装畅游巡警以防其他网马危害计算机系统。

　　3、畅游巡警可检测出的新增漏洞

　　本月新增加对以下网马的检测，其利用漏洞简介如下：

　　漏洞对应网马名称：Exploit.Win32.Ms08053.gen

　　漏洞对应程序名称：WMEX.DLL

　　漏洞原理简要介绍：

　　Windows Media Encoder 9 Series 中一个漏洞，如果用户查看了特制网页，此漏洞可能允许远程执行代码。如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

    畅游检测网马图：

漏洞对应网马名称：Exploit.Win32.Msmask32.gen

　　漏洞对应程序名称：Msmask32.ocx

　　漏洞原理简要介绍：

　　Microsoft Visual Studio是一款微软公司的开发工具套件系列产品。Microsoft Visual Studio包含的'Msmask32.ocx' ActiveX控件存在缓冲区溢出，远程攻击者可以利用漏洞以应用程序权限执行任意指令。问题存在于'Msmask32.ocx' ActiveX控件对参数的处理，构建恶意WEB页，诱使用户访问，可导致触发缓冲区溢出，可能以应用程序权限执行任意指令。

　　畅游检测网马图：

　　漏洞对应网马名称：Exploit.Win32.UltraOffice.gen

　　漏洞对应程序名称：OfficeCtrl.ocx

　　漏洞原理简要介绍：

　　Ultra Office控件HttpUpload()方式缓冲区溢出漏洞，因为没有进行充分的参数验证，导致Ultra Office控件存在一个很容易被利用的缓冲区溢出漏洞。通过欺骗用户访问一个恶意网页，攻击者可以通过触发这个漏洞来执行任意代码。

　　畅游检测网马图：

　　小提示：

　　及时更新安装Windows系统补丁，并尽可能使用应用程序的最新版本。不仅可以相对的提升系统的整体性能，更是保障系统安全的重要环节。

　　三、2008年9月份网马挂马趋势形成分析

　　1、网络监管力度增加。

　　虽然奥运会相关赛事已经结束，但是并没有出现网页挂马事件大幅上涨趋势。由此可见，相关部门并未减轻监管力度起到了直接的作用，有效的监管在一定程度上抑制了恶意网站及恶意挂马事件的增涨。

　　2、全球经济衰退。

　　全球经济在“黑色9月”中受到了很大的冲击，“黑色产业经济”是否也受到波及，我们不得而知。但是从超级巡警的监控数据显示来看，整体经济环境的低迷与“黑色经济”中的恶意挂马减少似乎有着千丝万缕的关系。

　　3、网页木马技术并无新突破。

　　网页木马技术仍然是以利用ActiveX控件的溢出漏洞为主，而针对这种技术的安全防护技术及相应解决方案也是层出不穷。畅游巡警及相关安全产品已经日趋成熟。安装畅游巡警可以非常有效的拦截各种已知网页挂马。

　　结束语：

　　虽然本报告表明：在9月份，互联网上的网页木马数量有所下降。但是在利益的驱动下，恶意程序是不会销声匿迹的。平静的背后隐现出更大的风浪，更新的技术正在酝酿，安全相关厂商即将面临着更严峻的考验。