2009年上半年中国大陆地区互联网安全报告

　　5、微软DirectShow爆严重漏洞，黑客利用该漏洞挂马

　　2009年6月，微软公司向MAPP伙伴公布其DirectShow软件中存在的一个严重漏洞，利用该漏洞的挂马网站已经在互联网上出现，用户浏览这些网站后就会中毒。作为中国大陆地区的MAPP合作伙伴，瑞星公司在收到微软提供的相关技术资料后，针对此漏洞进行了紧急分析，并通过“云安全”系统成功截获了利用该漏洞的挂马网站。

　　据了解，微软DirectShow漏洞在播放某些经过特殊构造的QuickTime媒体文件时，可能导致远程任意代码执行。攻击者可随意查看、更改或删除数据或者创建拥有完全用户权限的新帐户。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻击，Windows Vista和 Windows Server 2008的所有版本不容易受影响。

　　6、PDF网马成为国内近期较为流行的挂马趋势

　　在以往的网马解密分析中，恶意网址利用pdf漏洞网马寥寥无几。偶尔零星的也是在国外网马分析中有pdf网马身影。但是根据近期针对国内网马分析，发现了多起pdf网马身影。

　　根据6月份的瑞星每日安全播报分析的恶意网址来看，像类似http://2.hffangchan.com(合肥房产网)、http://bbs.skyhu.com(火狐游戏网)、http://www.china228.com/(好得网)等被挂马网站，在所挂恶意链接中均有pdf网马，以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等两个链接出现频率最高，且出现有一个pdf网马，使用网马解密工具分析，出现截然两种不同的网马下载地址，使用相关的下载工具验证下载，解密出网马地址均为真实有效的可以下载的地址。虽然这个漏洞大概在2008年左右出现，也是在近期分析国内所挂恶意链接地址中，出现pdf网马。这也充分说明了pdf网马应该会在2009年下半年国内网页挂马中，增加黑客牟利成功的砝码。

　　7、微软最新视频控件漏洞导致木马爆发

　　7月7日，瑞星公司发布橙色安全警报，微软视频控件(Microsoft Video ActiveX Control)漏洞导致的挂马网站攻击大幅增加，7月5日凌晨瑞星“云安全”系统首次监控到利用该漏洞的攻击代码出现，随后的5日6日短短两天内，监测到130万用户遭到利用该漏洞的攻击。

　　瑞星安全专家分析，产生漏洞的原因是用户系统中的msvidctl.dll组件不正确读取持久化的字节数组，攻击者可随意覆盖SEH或者RET，将EIP 设置成任意数值，结合javascript堆喷射方式可远程执行任意代码，黑客不必让用户运行被恶意修改的视频文件就可以进行挂马攻击。用户一旦访问被挂马的网站后，就会自动触发MPEG-2视频组件的msvidctl.dll组件，然后运行黑客植入的网页木马，最终下载大量盗号木马病毒，导致用户电脑系统异常甚至蓝屏，并盗取用户网游账号密码等个人信息。

　　8、微软Office漏洞导致大量挂马网站

　　7月13日，继微软视频控件漏洞出现之后，微软Office网络组件远程控制漏洞被黑客利用，进行挂马攻击。根据瑞星“云安全”系统监测，5日内已有133余万台电脑遭攻击。北京时间14日凌晨，微软已经发布了针对该漏洞的通告。

　　该漏洞危害全系列Windows系统，黑客可利用该漏洞来构建挂马网站，用户访问这些网站后即会被感染，植入木马下载器、盗号木马等恶意程序。目前该漏洞没有官方补丁，瑞星杀毒软件2009、瑞星全功能安全软件2009中的独有“网页防挂马”模块，采用“网页脚本行为分析技术”，无需补丁即可有效拦截利用该漏洞的挂马网站。