瑞星：中国挂马网站安全威胁报告

　　报告概要：

　　根据瑞星“云安全”数据中心的统计数据，2009年1月至3月，瑞星“云安全”系统拦截到的挂马网页数累计达1亿9千多万个，共有8亿人次网民遭木马攻击，平均每天有889万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有24202个，比去年同期有大幅度增长，挂马网站已经成为威胁国内互联网安全的主要因素。

　　注：“木马网站”是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中并运行。“挂马网站”指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。“木马地址”指的是木马病毒真正的网络下载地址。

　　由于黑客针对大型网站、流行软件进行挂马，使得单个木马网站攻击网民的数量有上升趋势，据统计，第一季度排行前两位的木马网站攻击网民数量都超过了86万。由于现在黑客通常在每个挂马网站上放多个木马，这使得单个木马的感染网民数很高，排行第一的木马感染了144万人次的网民。

　　从木马网站域名类型的统计来看，CN域名是黑客挂马最热门的类型。第一季度，有85.5%的木马网站使用CN域名，其后依次.com、.org、.net、.com.cn。

　　另外，瑞星“云安全”系统还统计了网民被挂马网站攻击成功时使用的软件，主要是各种浏览器，以及内嵌了网页的流行软件。从统计数据可以看出，IE浏览器在该项统计中名列第1，腾讯TT、遨游、世界之窗、360浏览器分列2至5位。另外，还有其他应用程序进程，如KuGoo.exe等。

　　注：此统计反映的是木马侵入成功之后的软件进程，因此和使用者数量、浏览器的安全性密切相关。例如，如果网民访问某挂马网站，他安装的瑞星全功能安全软件2009、瑞星卡卡等产品会把网站中的木马拦在电脑之外，使用户的机器就不会被侵入，仅上报拦截结果，作为统计数据参考。

　　根据瑞星“云安全”系统的统计，北京、广东、浙江是木马网站数量最多的三个省，其中有34%的木马网站服务器位于北京市。而广东、北京、湖南是受网民受木马影响最为严重的省，网民数量越多的省受影响越严重。

　　另外，瑞星“云安全”系统还统计了目前木马的“寿命”(在互联网上存在的时间)。根据统计数据，第一季度的十大木马网站中，寿命最短的1天，最长的是5天。而且，其寿命长短与攻击威力不成正比。比如710sese.cn网站，寿命仅仅为一天，其攻击的网民数量就达到了224万。

　　瑞星公司的统计研究表明，目前的互联网非常脆弱，各种流行软件、社交(SNS)网站、浏览器插件的漏洞层出不穷，为黑客提供了大量入侵和攻击的机会。网页取代网络成为攻击活动的主要渠道，“网页挂马”已经成为黑客传播病毒的主要手段。目前90%以上的木马病毒通过“挂马”方式传播。ARP欺骗、IM工具自动发送病毒链接等传播手段，往往也通过网页挂马最终侵入用户电脑。

　　免责声明：

　　本报告综合瑞星“云安全”数据中心的统计，仅针对中国大陆地区2009年第一季度拦截的木马网站数据进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构、厂商作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用，如若本报告阐述之状况、数据与其它机构研究结果有差异，请使用方自行辨别，瑞星公司不承担与此相关的一切法律责任。

　　目 录

　　一、2009年第一季度挂马网站疫情概要 3

　　二、2009年第一季度挂马网站数据统计 4

　　1、挂马网站截获量统计 4

　　2、挂马网站平均访问人次的统计 4

　　3、木马网站Top10排行 4

　　4、木马地址拦截量统计 5

　　5、木马地址Top10排行 5

　　6、木马网站域名的类型统计 6

　　7、挂马网站利用不安全软件的次数统计 6

　　8、恶意网站地区分布数量统计 7

　　9、各个地区受恶意网站影响程度排行 8

　　三、挂马网站疫情及案例分析 8

　　1、挂马网站快速增长的因素 8

　　2、挂马网站的寿命分析 10

　　3、票务中国被黑客恶意挂马 11

　　4、“猎杀者外挂”被挂马 12

　　5、“极品时刻表”被挂马 13

　　6、酷狗两次挂马事件 13

　　7、黑客网站明码标价 “买主”按台数购买染毒电脑 14

　　四、挂马网站趋势分析 15

　　1、利用各种漏洞 15

　　2、针对合法信赖的网站 15

　　3、利用“肉鸡”牟利 16

　　4、瑞星挂马网站拦截功能 16