超级巡警2008上半年互联网挂马报告

  　　报告关键字： 　　ActiveX控件 　　ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX 被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。 　　第三方应用程序 　　第三方应用程序主要是指运行在操作系统上，方便用户进行文档处理、浏览下载、影音播放等日常操作的非操作系统运行必需软件。 　　网马及其利用的第三方应用程序漏洞 　　攻击者构造一个恶意网页，在这个网页中加载带有漏洞的ActiveX控件。通过向这个ActiveX控件提供的函数提交恶意构造的参数，致使ActiveX控件溢出，从而下载并执行恶意参数中指向的恶意程序。这个网页就称做“网马”。 　　网页加密 　　通过对网页源代码进行某种变换（将字符转换为相对应的ASCII码、将字符以某种函数映射为其他字符等），使其不能被直接识别为逻辑语句的方法，叫做网页加密。对整个网页或部份网页代码进行加密，主要是为了防止作者的代码被盗用。然而现今各种网页加密技术则主要是用来对“网马”代码进行“保护”。因为经过加密的“网马”代码已经“面目全非”，这样就可以使“网马”不被一些通过特征码进行匹配的杀毒软件或安全工具所查杀。 　　网马生成器 　　网马生成器是一种生成网页木马的程序。它会针对相应的漏洞自动生成相应的网页木马，使用者不须要知道漏洞形成的原理、漏洞利用的代码、网页加密技术等相关知识。 　　只要运行网马生成器，选择其需要的功能前的复选框并输入要执行的恶意程序的链接，然后点击“生成”按钮，若干网页木马就会生成在指定的目录中。   　　畅游巡警 　　“畅游巡警”是数据安全实验室（DSWLab）2008年出品一款优秀的免费产品，其设计融入了国际一流的网页病毒查杀技术，拥有功能强大、高效准确的恶意网站识别与报警能力。其具备成熟的未知智能防御系统，对于未收录进数据库的网页病毒进行动态分析、实时阻止及清除。有效避免网页病毒、恶意网页、恶意下载、钓鱼网站等威胁，帮助用户安全、高效使用互联网资源。 　　一、2008年上半年网页木马整体分析 　　2008年网页木马急骤增长，专业化、团队式的木马制造者，在攫取巨额非法利益的同时，给广大网友的正常工作学习带来了很大的不便、使网友们的利益受到了极大的损失。巨额利润、第三方应用程序漏洞、社会工程学成为2008年上半年的网马增长的主要条件。很多流行病毒（如：机器狗、磁碟机、游戏盗号病毒）除了利用程序自身的传播机制进行传播外，也都会利用各种网马来扩大其破坏范围。 　　

图1　网马增长曲线图 　　（上图为超级巡警连续九周的抽样调查统计图，其中：蓝线为网马的实际增长曲线、黑线为网马的增长趋势曲线）   　　从图中可以看出，短短十周的时间内国内网络上的网页木马竟达到了10多倍的增长。由于一个网页木马对应着成百上千的，甚至是数以万计的计算机网络用户，所以通过网页木马被感染的计算机是放射性增长的。超级巡警团队监控数据显示，在抽样调查所统计的时间内，被感染的网页数量达到1449034，几乎是平均每个网民每天至少会浏览到一个恶意链接。被感染的网页增长走势如下图：

图2　被感染网页增长曲线图   　　网页木马作为打开网络上计算机的“弹头”，它会通过各种系统漏洞或应用程序漏洞，率先获取网络终端计算机的某种权限。通过已经获得的权限，去指定的服务器下载回来“有效载荷”。而这些“有效载荷”就是数十个盗取各种游戏软件、即时通讯软件、邮箱等密码或敏感信息的木马。 　　2008年上半年中国各个地区的网马都呈增加态势，一个原因是由于网络接入发展非常快。另一个原因是，同一年前相比，国内外的搜索引擎越来越多地把重点放在国内的服务器上。网马分布的主要地区如下图所示：

图3　网马分布图 　　（“其他”中包括除图中所列主要地区外的其他地区，主要指除中国以外的亚太地址和欧美地区）   　　如上图所示，在超级巡警团队统计的2008上半年十大恶意域名列表中，就有80%的恶意域名的IP地址是指向浙江省的。列表如下：   名 次 域 名 地域定位 上报次数 第1名 111.213***.net 广东 513758 第2名 kao2.gmw***.com 广东 409165 第3名 971.aksj***.com 浙江 271331 第4名 99.zhuancao***.cn 浙江 190228 第5名 1.97***.com 浙江 132377 第6名 971.asd97***.com 浙江 128837 第7名 971.lkjdas***.com 浙江 126884 第8名 111.123***.net 浙江 121878 第9名 xx5.53zg2***.cn 浙江 119859 第10名 888.rwrh***.cn 浙江 117593