1、挂马网站增长的因素
近几年,基于挂马的的恶意网站增长有很多因素,一是现有主流浏览器及其插件存在大量漏洞,二是应用软件安全漏洞层出不穷,如:Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时,针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。
瑞星“云安全”系统监测发现,一旦出现微软漏洞,很快会被恶意攻击者广泛采用来进行网页挂马活动。2月20日,瑞星公司发出2009年度第一个红色(一级)安全警报,因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看,该漏洞补丁发布日期前后的一段时间,恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。
由于该类木马病毒的暴增,根据瑞星“云安全”系统的统计,仅在2月19日就截获了高达866万人次的挂马网站攻击,比前一天增加了一倍。从瑞星“恶意网站监测网(http://mwm.rising.com.cn/)”上可以看到,利用该漏洞的挂马网站拦截量直线上升,已升为当时危害最严重的漏洞。
微软公司3月20日向所有开放Internet Explorer 8(简称IE8)免费下载,虽然微软官方声称IE8给用户上网提供了更简化的操作和更安全的功能,但其安全性仍存在严重问题,用户上网仍会被挂马、钓鱼网站所威胁。经过瑞星安全专家测试,使用IE8浏览器过程中,目前互联网上泛滥的挂马网站和钓鱼网站是无法有效拦截防御的。测试分别访问了2009-taobao.com这个冒充淘宝网(正确网址www.taobao.com)的钓鱼网站和http://www.fc5656.****s.htm挂马网站均无法拦截。
2、挂马网站寿命分析
“挂马网站寿命”是指网站从开始被挂马到挂马被消除(或被拦截)的时间间隔。关于这个“寿命”的问题越来越值得重视,因为挂马网站寿命越长,可能传播及受害面就越广,受到安全威胁的用户数量就越多。瑞星“云安全”数据中心截获的数据表明,截获次数最多的前十名挂马网站短的1天,最长的寿命是5天。挂马网站寿命终结的原因可能有几种:一是该网页被具有防挂马功能的安全软件拦截;二是该网页的恶意代码被网站管理员清除;三是黑客自己撤掉该网页中的恶意代码;四是该网页已关闭无法访问。
瑞星“云安全”数据中心统计数据还表明,“挂马网站寿命”和受攻击人次并不成正比,也就是说,寿命短的“挂马网站”侵害用户数量并不少。比如http://***.710sese.cn/***/ss.htm寿命仅短短的1天,期间就有2244051人次受到攻击,被拦截次数的排名迅速跃居到第一位。
参加瑞星“云安全”计划,可以缩短挂马网站的寿命。瑞星“云安全”数据中心于2009年1月16日第一次监控到木马网站http://%%%%.706sese.cn,发现在一天之内有1301018人次网民受到攻击。监控数据表明,它的寿命长达约两个月,一直持续到3月11日。但是,对于加入“云安全”并及时升级瑞星软件的用户来说,这个网站的“寿命”仅为1天!原因是,由于瑞星迅速将其加入挂马网站库,基于“云安全”技术的瑞星全功能安全软件和瑞星个人防火墙便可以自动拦截该挂马网站。瑞星“云安全”数据中心统计表明,在这之后瑞星自动拦截该恶意网木马网站高达4080776次,为广大网民提供了强有力的安全防护。
3、票务中国被黑客恶意挂马
2009年1月21日,流行票务网站“票务中国(http://www.piaocn.com/)”被黑客恶意挂马,网页中被植入恶意代码,代码位于域名为http://####.706sese.cn的服务器上。用户一旦访问该网站订票,就会被下载大量盗号木马病毒,从而导致网游、网银或QQ账号密码丢失。当时,挂马网站706sese已经名列挂马网站排行榜第一位,一周内侵袭了144万人次网民。
(票务中国被挂马)
票务网站、电影下载网站已经成为黑客挂马的重灾区,占据了近期所有类型挂马网站的80%以上。由于此类网站在节日期间的访问量巨大,中毒用户的数量将不在少数。
每当国庆、元旦、春节、圣诞节这样的大型节日临近,网民们会通过网上订票等方式丰富自己的节日生活,或通过互联网查询并购买回家的机票、查找自己感兴趣的网游外挂,或下载喜欢的电影或游戏。黑客正是瞄准了这个机会,通过恶意挂马,使很多网民经常访问的网站被黑,最终使用户电脑中毒,经济利益受损。
4、“猎杀者外挂”被挂马
2009年3月2日,瑞星“云安全”系统截获的数据表明,网游玩家中流行的“猎杀者外挂”程序被黑客挂马,截至当天17时为止,瑞星已拦截到59169人次网民访问该带毒网页。
根据瑞星公司技术部门分析,被植入木马的网页为猎杀者外挂内嵌的网页,玩家在使用猎杀者外挂之后,会自动打开那个被挂马的网页。由于该外挂使用者众多,因此访问量非常大,在短短的时间之内,才侵袭了如此多的玩家。
据了解,猎杀者外挂被植入的木马地址为http://***.230it.cn/,该恶意网木马网站当日拦截的挂马网站的22.91%。玩家一旦访问了被挂马的网页,电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒,对玩家的利益造成严重影响。
5、“极品时刻表”被挂马
2009年3月9日,瑞星“云安全”系统提供的数据表明,网民中流行的“极品时刻表”软件被黑客挂马,截至当天19时为止,瑞星已拦截到66757人次网民遭到攻击。极品时刻表内嵌的网页被黑客植入木马,当用户使用该软件查询列车车次时,就会遭到攻击。
(点击“查询”按钮之后,该软件自动打开的内嵌广告页带毒)
被植入木马的网页为极品时刻表内嵌的广告网页,用户在使用“查询”功能之后,该软件会自动打开那个被挂马的网页。该网页中使用了多个常用软件的流行漏洞,如果用户没有做好相应的防护,很容易中毒。
据了解,极品时刻表被植入的木马地址为http://***.6t65r.cn/,该恶意网木马网站量在那几天上升极快,可能黑客还把该网页植入了其它常用网站或软件当中。玩家一旦中毒,电脑会被下载病毒下载器、盗号木马、蠕虫等恶性病毒,从而带来极大的安全风险。
6、酷狗两次挂马事件
从监测数据看,酷狗在2009年2月25日曾被挂马,当天截获到KuGoo.exe访问挂马网站的数量为337519,第二天2月26日为480800,那一次挂马的“寿命”长达两天,直到2月27日才清除了挂马。3月14日通过KuGoo.exe进程访问挂马网站数据量暴增,为724381,达到平时访问量的30倍之多,那次挂马持续了一天,3月15日被清除恢复正常,当天显示数量下降至18964。
以3月14日为例,最早在3月14日凌晨4点19分酷狗论坛上就有用户反馈酷狗被挂马,直至当天中午11点47分仍有类似的帖子出现。恶意网木马网站为的“寿命”越长,传播和受害面就越广。尤其是没有安装网页木马拦截功能的软件的这部分用户,丝毫察觉不到自己的计算机已遭到攻击、入侵。一旦木马病毒下载后自动运行,信息安全就受到严重威胁。
7、黑客网站明码标价 “买主”按台数购买染毒电脑
2009年3月18日,瑞星通过“云安全”系统截获一个黑客建立的染毒电脑销售网站(http://121.***.127.73/),登陆这个网站,就可以看到他们总共控制了多少台染毒电脑(或称“肉鸡”)、染毒电脑的IP地址等详细数据。这是黑客用来向“客户”销售“肉鸡”的网站,“客户”可以选择“肉鸡”的IP地址,然后按照台数和控制时间等等条件付款,获得这些“肉鸡”的控制权。
从目前该网站的数据来看,该黑客至少已经控制了34795台电脑,并以每天150台左右的速度增长。下图中的“安装总数量”就是黑客控制的染毒电脑台数;下面的“最后30台安装者”中,可以看到染毒电脑的IP、中毒时间等数据。
所谓“肉鸡”就是被黑客控制的电脑,黑客在这些电脑中植入木马、后门等病毒,或者利用电脑的不安全设置(如管理员账号密码过于简单、系统存在漏洞、未安装杀毒软件等)等条件,在用户未察觉的状况下远程控制这些电脑,进行各种非法操作,国内非常著名的“灰鸽子”病毒就是典型的后门程序。
( 某“后门”程序控制端界面)
| 共4页: 上一页 [1] [2] 3 [4] 下一页 |