瑞星：中国挂马网站安全威胁报告

　　一、2009年第一季度挂马网站疫情概要

　　瑞星“云安全”数据中心的统计表明，2009年第一季度截获的挂马网站(网页数量)总数目为197676188个，平均每天截获2196402个;挂马网站攻击总次数800412435次，平均每天遭遇攻击次数达8893471;其中确定是大型网站被挂马的“挂马网站”总数为24202个，平均每天有268个大型网站被挂马，2009-1-7当天拦截的“挂马网站”高达1011个。

　　二、2009年第一季度挂马网站数据统计

　　1、挂马网站截获量统计

　　瑞星“云安全”数据中心2009年1月至3月的监测数据，统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量，截获到的挂马网站(以网页个数统计)数目总计197676188个，拦截次数总计800412435次。

　　2、挂马网站平均访问人次的统计

　　2009年1月1日至3月31日，瑞星“云安全”数据中心已拦截到800412435人次访问挂马网站，每天平均访问人次达8893471次。也就是说，平均每天有889万余人次网民访问过恶意网页。

　　3、木马网站Top10排行

　　排行首位的木马网站被拦截的次数867912次;第二名的木马网站被拦截次数为86万余次;第十名的拦截次数也达到61万余次。

　　4、 木马地址拦截量统计

　　“木马地址”是指可以直接下载木马病毒的URL网址，从瑞星“云安全”数据中心第一季度统计看，被拦截的木马地址数目为398966个，去掉重复地址后的数目是10947个，拦截次数共20394247次。

　　5、木马地址Top10排行(十大木马排行)

　　排名第一的木马地址被拦截次数达到144万余次，前三位的木马地址拦截次数均超过111万次，第十名的木马地址拦截次数也达到58万次。

　　6、木马网站域名的类型统计

　　瑞星“云安全”数据中心截获的数据表明，2009年第一季度被拦截的木马网站域名类型排行如下图，排名第一是【.cn】，拦截量竟然高达151077922，前五名中排名紧随其后的域名依次为【.com】、【.org】、【.net】、【.com.cn】。由此可见，这几个域名都是黑客们最热衷“光顾”的。

　　7、挂马网站利用不安全软件的次数统计

　　瑞星“云安全”数据中心还记录了访问挂马网站的进程，以及利用不安全进程访问的挂马网站数量。从下图可以看出，使用浏览器访问挂马网站的数量最多，IE名列第一，腾讯TT和遨游紧随其后。另外，还有其他应用程序进程，如KuGoo.exe等。

　　注：非浏览器软件被挂马，往往是因为其中内嵌的IE网页被植入木马。例如酷狗、极品时刻表等。

　　8、恶意网站地区分布数量统计

　　2009年1月～3月恶意网站地区分布比例统计如下图，本数据显示恶意网站服务器实际存在的地理位置，以IP地址为准。通常情况下，多个木马网站URL会存在于同一IP地址，因此该数据的量级会远远小于实际的木马网站数量。

　　注：本图数据包含了钓鱼网站、诈骗网站、木马网站的总体数据，因此称为“恶意网站地区分布”。

　　9、各个地区受恶意网站影响度排行

　　在各省疫情方面，广东省以8%的数量领先，北京、湖南、江苏、山东等省市紧随其后。从统计数据来看，各省网民受恶意网木马网站几乎没有差距，上网计算机保有量是疫情地区差别最重要的原因。

　　三、挂马网站案例分析

　　1、挂马网站增长的因素

　　近几年，基于挂马的的恶意网站增长有很多因素，一是现有主流浏览器及其插件存在大量漏洞，二是应用软件安全漏洞层出不穷，如：Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时，针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。

　　瑞星“云安全”系统监测发现，一旦出现微软漏洞，很快会被恶意攻击者广泛采用来进行网页挂马活动。2月20日，瑞星公司发出2009年度第一个红色(一级)安全警报，因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布，导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看，该漏洞补丁发布日期前后的一段时间，恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。