瑞星：中国挂马网站安全威胁报告

　　由于该类木马病毒的暴增，根据瑞星“云安全”系统的统计，仅在2月19日就截获了高达866万人次的挂马网站攻击，比前一天增加了一倍。从瑞星“恶意网站监测网(http://mwm.rising.com.cn/)”上可以看到，利用该漏洞的挂马网站拦截量直线上升，已升为当时危害最严重的漏洞。

　　微软公司3月20日向所有开放Internet Explorer 8(简称IE8)免费下载，虽然微软官方声称IE8给用户上网提供了更简化的操作和更安全的功能，但其安全性仍存在严重问题，用户上网仍会被挂马、钓鱼网站所威胁。经过瑞星安全专家测试，使用IE8浏览器过程中，目前互联网上泛滥的挂马网站和钓鱼网站是无法有效拦截防御的。测试分别访问了2009-taobao.com这个冒充淘宝网(正确网址www.taobao.com)的钓鱼网站和http://www.fc5656.****s.htm挂马网站均无法拦截。

　　2、挂马网站寿命分析

　　“挂马网站寿命”是指网站从开始被挂马到挂马被消除(或被拦截)的时间间隔。关于这个“寿命”的问题越来越值得重视，因为挂马网站寿命越长，可能传播及受害面就越广，受到安全威胁的用户数量就越多。瑞星“云安全”数据中心截获的数据表明，截获次数最多的前十名挂马网站短的1天，最长的寿命是5天。挂马网站寿命终结的原因可能有几种：一是该网页被具有防挂马功能的安全软件拦截;二是该网页的恶意代码被网站管理员清除;三是黑客自己撤掉该网页中的恶意代码;四是该网页已关闭无法访问。

　　瑞星“云安全”数据中心统计数据还表明，“挂马网站寿命”和受攻击人次并不成正比，也就是说，寿命短的“挂马网站”侵害用户数量并不少。比如http://***.710sese.cn/***/ss.htm寿命仅短短的1天，期间就有2244051人次受到攻击，被拦截次数的排名迅速跃居到第一位。

　　参加瑞星“云安全”计划，可以缩短挂马网站的寿命。瑞星“云安全”数据中心于2009年1月16日第一次监控到木马网站http://%%%%.706sese.cn，发现在一天之内有1301018人次网民受到攻击。监控数据表明，它的寿命长达约两个月，一直持续到3月11日。但是，对于加入“云安全”并及时升级瑞星软件的用户来说，这个网站的“寿命”仅为1天!原因是，由于瑞星迅速将其加入挂马网站库，基于“云安全”技术的瑞星全功能安全软件和瑞星个人防火墙便可以自动拦截该挂马网站。瑞星“云安全”数据中心统计表明，在这之后瑞星自动拦截该恶意网木马网站高达4080776次，为广大网民提供了强有力的安全防护。

　　3、票务中国被黑客恶意挂马

　　2009年1月21日，流行票务网站“票务中国(http://www.piaocn.com/)”被黑客恶意挂马，网页中被植入恶意代码，代码位于域名为http://####.706sese.cn的服务器上。用户一旦访问该网站订票，就会被下载大量盗号木马病毒，从而导致网游、网银或QQ账号密码丢失。当时，挂马网站706sese已经名列挂马网站排行榜第一位，一周内侵袭了144万人次网民。

　　(票务中国被挂马)

　　票务网站、电影下载网站已经成为黑客挂马的重灾区，占据了近期所有类型挂马网站的80%以上。由于此类网站在节日期间的访问量巨大，中毒用户的数量将不在少数。

　　每当国庆、元旦、春节、圣诞节这样的大型节日临近，网民们会通过网上订票等方式丰富自己的节日生活，或通过互联网查询并购买回家的机票、查找自己感兴趣的网游外挂，或下载喜欢的电影或游戏。黑客正是瞄准了这个机会，通过恶意挂马，使很多网民经常访问的网站被黑，最终使用户电脑中毒，经济利益受损。

　　4、“猎杀者外挂”被挂马

　　2009年3月2日，瑞星“云安全”系统截获的数据表明，网游玩家中流行的“猎杀者外挂”程序被黑客挂马，截至当天17时为止，瑞星已拦截到59169人次网民访问该带毒网页。

　　根据瑞星公司技术部门分析，被植入木马的网页为猎杀者外挂内嵌的网页，玩家在使用猎杀者外挂之后，会自动打开那个被挂马的网页。由于该外挂使用者众多，因此访问量非常大，在短短的时间之内，才侵袭了如此多的玩家。

　　据了解，猎杀者外挂被植入的木马地址为http://***.230it.cn/，该恶意网木马网站当日拦截的挂马网站的22.91%。玩家一旦访问了被挂马的网页，电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒，对玩家的利益造成严重影响。

　　5、“极品时刻表”被挂马

　　2009年3月9日，瑞星“云安全”系统提供的数据表明，网民中流行的“极品时刻表”软件被黑客挂马，截至当天19时为止，瑞星已拦截到66757人次网民遭到攻击。极品时刻表内嵌的网页被黑客植入木马，当用户使用该软件查询列车车次时，就会遭到攻击。

　　(点击“查询”按钮之后，该软件自动打开的内嵌广告页带毒)

　　被植入木马的网页为极品时刻表内嵌的广告网页，用户在使用“查询”功能之后，该软件会自动打开那个被挂马的网页。该网页中使用了多个常用软件的流行漏洞，如果用户没有做好相应的防护，很容易中毒。

　　据了解，极品时刻表被植入的木马地址为http://***.6t65r.cn/，该恶意网木马网站量在那几天上升极快，可能黑客还把该网页植入了其它常用网站或软件当中。玩家一旦中毒，电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒，从而带来极大的安全风险。

　　6、酷狗两次挂马事件

　　从监测数据看，酷狗在2009年2月25日曾被挂马，当天截获到KuGoo.exe访问挂马网站的数量为337519，第二天2月26日为480800，那一次挂马的“寿命”长达两天，直到2月27日才清除了挂马。3月14日通过KuGoo.exe进程访问挂马网站数据量暴增，为724381，达到平时访问量的30倍之多，那次挂马持续了一天，3月15日被清除恢复正常，当天显示数量下降至18964。

　　以3月14日为例，最早在3月14日凌晨4点19分酷狗论坛上就有用户反馈酷狗被挂马，直至当天中午11点47分仍有类似的帖子出现。恶意网木马网站为的“寿命”越长，传播和受害面就越广。尤其是没有安装网页木马拦截功能的软件的这部分用户，丝毫察觉不到自己的计算机已遭到攻击、入侵。一旦木马病毒下载后自动运行，信息安全就受到严重威胁。

　　7、黑客网站明码标价 “买主”按台数购买染毒电脑

　　2009年3月18日，瑞星通过“云安全”系统截获一个黑客建立的染毒电脑销售网站(http://121.***.127.73/)，登陆这个网站，就可以看到他们总共控制了多少台染毒电脑(或称“肉鸡”)、染毒电脑的IP地址等详细数据。这是黑客用来向“客户”销售“肉鸡”的网站，“客户”可以选择“肉鸡”的IP地址，然后按照台数和控制时间等等条件付款，获得这些“肉鸡”的控制权。

　　从目前该网站的数据来看，该黑客至少已经控制了34795台电脑，并以每天150台左右的速度增长。下图中的“安装总数量”就是黑客控制的染毒电脑台数;下面的“最后30台安装者”中，可以看到染毒电脑的IP、中毒时间等数据。

　　所谓“肉鸡”就是被黑客控制的电脑，黑客在这些电脑中植入木马、后门等病毒，或者利用电脑的不安全设置(如管理员账号密码过于简单、系统存在漏洞、未安装杀毒软件等)等条件，在用户未察觉的状况下远程控制这些电脑，进行各种非法操作，国内非常著名的“灰鸽子”病毒就是典型的后门程序。

　　( 某“后门”程序控制端界面)

　　四、恶意网站挂马分析

　　1、利用各种漏洞

　　2009年第一季度，黑客对于漏洞的利用趋势没有明显转变，其主要用途仍然在网页挂马上，包括RealPlayer、迅雷、PPlive等流行软件都出现过严重漏洞，被黑客利用传播木马。

　　由于目前流行的各种热门网站、客户端软件和浏览器，都存在着众多漏洞和安全薄弱点，使得用户遭到攻击的渠道暴增;而且，随着黑客-病毒产业链臻于完善，支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭，使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。

　　瑞星专家提醒说，现在的木马病毒绝大多数通过漏洞传播，而且多数木马病毒运行时没有明显的异常特征，用户很难及时发现自己已经中毒。只要用户电脑上的漏洞存在，访问挂马网站中毒的风险就一直存在。即使安装了杀毒软件，也只能在病毒入侵时拦截，风险比弥补漏洞之后会高许多倍。

　　2、针对合法信赖的网站

　　门户网站、Web2.0以及搜索类网站代表了当前网站的典型形式，同时也成为黑客们关注的焦点。借助这些网站庞大的数据库、良好的信誉和对Web2.0应用的有力支持，这些网站拥有高可信赖度和良好的信誉，为那些恶意程序的制造者创造了大量的机会。传统上，网民们有如下错误观念：只有不良网站才会带毒、才会被挂马，只要坚持良好的浏览习惯，就可以躲避盗号木马的侵袭。统计数据表明，这样的观念已经过时，那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。

　　瑞星公司的抽样统计显示，每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站，其中包括新闻网站、网络论坛、博客网站等。多个主流门户网站首页悬挂的广告中被植入木马病毒，用户访问这些网站就会中毒。显而易见，越来越多的恶意攻击源自合法可信赖的网站。

　　3、利用“肉鸡”牟利

　　黑客利用“肉鸡”一般有以下几种方式：

　　(1)黑客一旦控制了“肉鸡”，就可以很方便地从该电脑中盗取用户的隐私信息。如网银、网游、聊天工具等软件的账号密码，以及私人文档、照片等;

　　(2)控制摄像头进行偷拍。很多游戏玩家和下载狂人的电脑经常是24小时开机，如果摄像头没有拔掉，就会被黑客偷拍，进行网上公布、甚至敲诈勒索。

　　(3)帮助某些流氓厂商提高安装量或点击率。黑客可以在“肉鸡”中安装大量的插件或流氓软件，疯狂点击或弹出广告，从广告主那里收获广告费;

　　(4)将“肉鸡”直接出卖给从事盗号或其他非法目的的人;

　　(5)黑客控制了一定数量的“肉鸡”，同时自动刷新访问某个网站，提升该网站的访问量、造成网站瘫痪(DDos攻击)，或者使某个网站服务器、防火墙瘫痪，国内很多游戏厂家曾经就受到过这种攻击，并被勒索。

　　此前央视3·15晚会上曝光的网上出售的个人信息，有很多就是通过这种途径窃取来，挂马网站已经成为个人信息泄露的重要途径之一。

　　建议网民采取以下措施，让电脑避免成为“肉鸡”：

　　l 设置复杂系统管理员密码，通常建议设为8位以上数字、字母、符号的组合;

　　l 关闭危险的端口(TCP137、445、3389和UDP135、139、445、)和没有必要的服务;

　　l 及时更新系统和第三方软件的漏洞;

　　l 安装并及时升级杀毒软件和防火墙;

　　l 经常检查系统日志、服务、注册表等相关项。

　　4、瑞星挂马网站拦截功能

　　以“票务中国(http://www.piaocn.com/)”被黑客恶意挂马为例，如果安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”，当网民浏览挂马网站时，瑞星2009会立即提示网页存在恶意代码，并显示漏洞名称，如下图。

　　再以“极品时刻表”被挂马为例，被植入木马的网页为极品时刻表内嵌的广告网页，用户点击“查询”按钮之后，该软件会自动打开那个被挂马的网页。安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”会立即提示网页存在恶意代码，并显示病毒名称，如下图。因为其独有的“木马入侵拦截”功能可以拦截挂马网站带有的木马。

　　“瑞星杀毒软件2009”、“瑞星全功能安全软件”产品都拥有挂马网站拦截功能，可以自动拦截网页中带有的挂马网站，在木马进入用户电脑之前即将其拦截。