【51CTO.com 綜合消息】根據(jù)瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計(jì)數(shù)據(jù)，2009年1月至3月，瑞星“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁(yè)數(shù)累計(jì)達(dá)1億9千多萬(wàn)個(gè)，共有8億人次網(wǎng)民遭木馬攻擊，平均每天有889萬(wàn)余人次網(wǎng)民訪問(wèn)掛馬網(wǎng)站；其中大型網(wǎng)站、流行軟件被掛馬的有24202個(gè)，比去年同期有大幅度增長(zhǎng)，掛馬網(wǎng)站已經(jīng)成為威脅國(guó)內(nèi)互聯(lián)網(wǎng)安全的主要因素。

注：“木馬網(wǎng)站”是一種利用程序漏洞，在后臺(tái)偷偷下載木馬的網(wǎng)頁(yè)。這些網(wǎng)頁(yè)通常放在黑客自己管理的服務(wù)器上，當(dāng)用戶訪問(wèn)時(shí)，會(huì)把許多木馬下載到用戶機(jī)器中并運(yùn)行?！皰祚R網(wǎng)站”指的是被黑客植入惡意代碼的正規(guī)網(wǎng)站，這些被植入的惡意代碼，通常會(huì)直接指向“木馬網(wǎng)站”的網(wǎng)絡(luò)地址。“木馬地址”指的是木馬病毒真正的網(wǎng)絡(luò)下載地址。

由于黑客針對(duì)大型網(wǎng)站、流行軟件進(jìn)行掛馬，使得單個(gè)木馬網(wǎng)站攻擊網(wǎng)民的數(shù)量有上升趨勢(shì)，據(jù)統(tǒng)計(jì)，第一季度排行前兩位的木馬網(wǎng)站攻擊網(wǎng)民數(shù)量都超過(guò)了86萬(wàn)。由于現(xiàn)在黑客通常在每個(gè)掛馬網(wǎng)站上放多個(gè)木馬，這使得單個(gè)木馬的感染網(wǎng)民數(shù)很高，排行第一的木馬感染了144萬(wàn)人次的網(wǎng)民。

從木馬網(wǎng)站域名類型的統(tǒng)計(jì)來(lái)看，CN域名是黑客掛馬最熱門的類型。第一季度，有85.5%的木馬網(wǎng)站使用CN域名，其后依次.com、.org、.net、.com.cn。

另外，瑞星“云安全”系統(tǒng)還統(tǒng)計(jì)了網(wǎng)民被掛馬網(wǎng)站攻擊成功時(shí)使用的軟件，主要是各種瀏覽器，以及內(nèi)嵌了網(wǎng)頁(yè)的流行軟件。從統(tǒng)計(jì)數(shù)據(jù)可以看出，IE瀏覽器在該項(xiàng)統(tǒng)計(jì)中名列第1，騰訊TT、遨游、世界之窗、360瀏覽器分列2至5位。另外，還有其他應(yīng)用程序進(jìn)程，如KuGoo.exe等。

注：此統(tǒng)計(jì)反映的是木馬侵入成功之后的軟件進(jìn)程，因此和使用者數(shù)量、瀏覽器的安全性密切相關(guān)。例如，如果網(wǎng)民訪問(wèn)某掛馬網(wǎng)站，他安裝的瑞星全功能安全軟件2009、瑞星卡卡等產(chǎn)品會(huì)把網(wǎng)站中的木馬攔在電腦之外，使用戶的機(jī)器就不會(huì)被侵入，僅上報(bào)攔截結(jié)果，作為統(tǒng)計(jì)數(shù)據(jù)參考。

根據(jù)瑞星“云安全”系統(tǒng)的統(tǒng)計(jì)，北京、廣東、浙江是木馬網(wǎng)站數(shù)量最多的三個(gè)省，其中有34%的木馬網(wǎng)站服務(wù)器位于北京市。而廣東、北京、湖南是受網(wǎng)民受木馬影響最為嚴(yán)重的省，網(wǎng)民數(shù)量越多的省受影響越嚴(yán)重。

另外，瑞星“云安全”系統(tǒng)還統(tǒng)計(jì)了目前木馬的“壽命”（在互聯(lián)網(wǎng)上存在的時(shí)間）。根據(jù)統(tǒng)計(jì)數(shù)據(jù)，第一季度的十大木馬網(wǎng)站中，壽命最短的1天，最長(zhǎng)的是5天。而且，其壽命長(zhǎng)短與攻擊威力不成正比。比如710sese.cn網(wǎng)站，壽命僅僅為一天，其攻擊的網(wǎng)民數(shù)量就達(dá)到了224萬(wàn)。

瑞星公司的統(tǒng)計(jì)研究表明，目前的互聯(lián)網(wǎng)非常脆弱，各種流行軟件、社交（SNS）網(wǎng)站、瀏覽器插件的漏洞層出不窮，為黑客提供了大量入侵和攻擊的機(jī)會(huì)。網(wǎng)頁(yè)取代網(wǎng)絡(luò)成為攻擊活動(dòng)的主要渠道，“網(wǎng)頁(yè)掛馬”已經(jīng)成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過(guò)“掛馬”方式傳播。ARP欺騙、IM工具自動(dòng)發(fā)送病毒鏈接等傳播手段，往往也通過(guò)網(wǎng)頁(yè)掛馬最終侵入用戶電腦。

免責(zé)聲明：

本報(bào)告綜合瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計(jì)，僅針對(duì)中國(guó)大陸地區(qū)2009年第一季度攔截的木馬網(wǎng)站數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、研究和分析。本報(bào)告提供給媒體、公眾和相關(guān)政府及行業(yè)機(jī)構(gòu)、廠商作為互聯(lián)網(wǎng)信息安全狀況的介紹和研究資料，請(qǐng)相關(guān)單位酌情使用，如若本報(bào)告闡述之狀況、數(shù)據(jù)與其它機(jī)構(gòu)研究結(jié)果有差異，請(qǐng)使用方自行辨別，瑞星公司不承擔(dān)與此相關(guān)的一切法律責(zé)任。#p#

一、2009年第一季度掛馬網(wǎng)站疫情概要

瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計(jì)表明，2009年第一季度截獲的掛馬網(wǎng)站（網(wǎng)頁(yè)數(shù)量）總數(shù)目為197676188個(gè)，平均每天截獲2196402個(gè)；掛馬網(wǎng)站攻擊總次數(shù)800412435次，平均每天遭遇攻擊次數(shù)達(dá)8893471；其中確定是大型網(wǎng)站被掛馬的“掛馬網(wǎng)站”總數(shù)為24202個(gè)，平均每天有268個(gè)大型網(wǎng)站被掛馬，2009-1-7當(dāng)天攔截的“掛馬網(wǎng)站”高達(dá)1011個(gè)。 

圖

圖

圖

#p#

二、2009年第一季度掛馬網(wǎng)站數(shù)據(jù)統(tǒng)計(jì)

1、掛馬網(wǎng)站截獲量統(tǒng)計(jì)

瑞星“云安全”數(shù)據(jù)中心2009年1月至3月的監(jiān)測(cè)數(shù)據(jù)，統(tǒng)計(jì)來(lái)自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動(dòng)攔截的掛馬網(wǎng)站數(shù)量，截獲到的掛馬網(wǎng)站（以網(wǎng)頁(yè)個(gè)數(shù)統(tǒng)計(jì)）數(shù)目總計(jì)197676188個(gè)，攔截次數(shù)總計(jì)800412435次。

2、掛馬網(wǎng)站平均訪問(wèn)人次的統(tǒng)計(jì)   

2009年1月1日至3月31日，瑞星“云安全”數(shù)據(jù)中心已攔截到800412435人次訪問(wèn)掛馬網(wǎng)站，每天平均訪問(wèn)人次達(dá)8893471次。也就是說(shuō)，平均每天有889萬(wàn)余人次網(wǎng)民訪問(wèn)過(guò)惡意網(wǎng)頁(yè)。

3、木馬網(wǎng)站Top10排行   

圖

排行首位的木馬網(wǎng)站被攔截的次數(shù)867912次；第二名的木馬網(wǎng)站被攔截次數(shù)為86萬(wàn)余次；第十名的攔截次數(shù)也達(dá)到61萬(wàn)余次。

4、 木馬地址攔截量統(tǒng)計(jì)

“木馬地址”是指可以直接下載木馬病毒的URL網(wǎng)址，從瑞星“云安全”數(shù)據(jù)中心第一季度統(tǒng)計(jì)看，被攔截的木馬地址數(shù)目為398966個(gè)，去掉重復(fù)地址后的數(shù)目是10947個(gè)，攔截次數(shù)共20394247次。  

圖

5、木馬地址Top10排行（十大木馬排行） 

圖

排名第一的木馬地址被攔截次數(shù)達(dá)到144萬(wàn)余次，前三位的木馬地址攔截次數(shù)均超過(guò)111萬(wàn)次，第十名的木馬地址攔截次數(shù)也達(dá)到58萬(wàn)次。#p#

6、木馬網(wǎng)站域名的類型統(tǒng)計(jì)  

瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明，2009年第一季度被攔截的木馬網(wǎng)站域名類型排行如下圖，排名第一是【.cn】，攔截量竟然高達(dá)151077922，前五名中排名緊隨其后的域名依次為【.com】、【.org】、【.net】、【.com.cn】。由此可見(jiàn)，這幾個(gè)域名都是黑客們最熱衷“光顧”的。 

圖

7、掛馬網(wǎng)站利用不安全軟件的次數(shù)統(tǒng)計(jì)

瑞星“云安全”數(shù)據(jù)中心還記錄了訪問(wèn)掛馬網(wǎng)站的進(jìn)程，以及利用不安全進(jìn)程訪問(wèn)的掛馬網(wǎng)站數(shù)量。從下圖可以看出，使用瀏覽器訪問(wèn)掛馬網(wǎng)站的數(shù)量最多，IE名列第一，騰訊TT和遨游緊隨其后。另外，還有其他應(yīng)用程序進(jìn)程，如KuGoo.exe等。

注：非瀏覽器軟件被掛馬，往往是因?yàn)槠渲袃?nèi)嵌的IE網(wǎng)頁(yè)被植入木馬。例如酷狗、極品時(shí)刻表等。 

圖

8、惡意網(wǎng)站地區(qū)分布數(shù)量統(tǒng)計(jì)

2009年1月～3月惡意網(wǎng)站地區(qū)分布比例統(tǒng)計(jì)如下圖，本數(shù)據(jù)顯示惡意網(wǎng)站服務(wù)器實(shí)際存在的地理位置，以IP地址為準(zhǔn)。通常情況下，多個(gè)木馬網(wǎng)站URL會(huì)存在于同一IP地址，因此該數(shù)據(jù)的量級(jí)會(huì)遠(yuǎn)遠(yuǎn)小于實(shí)際的木馬網(wǎng)站數(shù)量。

注：本圖數(shù)據(jù)包含了釣魚(yú)網(wǎng)站、詐騙網(wǎng)站、木馬網(wǎng)站的總體數(shù)據(jù)，因此稱為“惡意網(wǎng)站地區(qū)分布”。 

圖

9、各個(gè)地區(qū)受惡意網(wǎng)站影響度排行

在各省疫情方面，廣東省以8％的數(shù)量領(lǐng)先，北京、湖南、江蘇、山東等省市緊隨其后。從統(tǒng)計(jì)數(shù)據(jù)來(lái)看，各省網(wǎng)民受惡意網(wǎng)木馬網(wǎng)站幾乎沒(méi)有差距，上網(wǎng)計(jì)算機(jī)保有量是疫情地區(qū)差別最重要的原因。 

圖

#p#

三、掛馬網(wǎng)站案例分析

1、掛馬網(wǎng)站增長(zhǎng)的因素

近幾年，基于掛馬的的惡意網(wǎng)站增長(zhǎng)有很多因素，一是現(xiàn)有主流瀏覽器及其插件存在大量漏洞，二是應(yīng)用軟件安全漏洞層出不窮，如：Realplay 播放器漏洞、聯(lián)眾世界漏洞、暴風(fēng)影音漏洞等。同時(shí)，針對(duì)漏洞出現(xiàn)的攻擊程序、代碼也呈現(xiàn)出目的性強(qiáng)、時(shí)效性高的趨勢(shì)。

瑞星“云安全”系統(tǒng)監(jiān)測(cè)發(fā)現(xiàn)，一旦出現(xiàn)微軟漏洞，很快會(huì)被惡意攻擊者廣泛采用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬活動(dòng)。2月20日，瑞星公司發(fā)出2009年度第一個(gè)紅色（一級(jí)）安全警報(bào)，因?yàn)獒槍?duì)IE7新漏洞（MS09--002）的病毒攻擊代碼在網(wǎng)上公布，導(dǎo)致利用該漏洞的新木馬病毒大量出現(xiàn)。從瑞星“云安全”數(shù)據(jù)中心統(tǒng)計(jì)看，該漏洞補(bǔ)丁發(fā)布日期前后的一段時(shí)間，惡意掛馬網(wǎng)站的數(shù)目以及攔截次數(shù)均有不同程度的漲幅。 

圖

圖

由于該類木馬病毒的暴增，根據(jù)瑞星“云安全”系統(tǒng)的統(tǒng)計(jì)，僅在2月19日就截獲了高達(dá)866萬(wàn)人次的掛馬網(wǎng)站攻擊，比前一天增加了一倍。從瑞星“惡意網(wǎng)站監(jiān)測(cè)網(wǎng)（http://mwm.rising.com.cn/）”上可以看到，利用該漏洞的掛馬網(wǎng)站攔截量直線上升，已升為當(dāng)時(shí)危害最嚴(yán)重的漏洞。

圖

微軟公司3月20日向所有開(kāi)放Internet Explorer 8（簡(jiǎn)稱IE8）免費(fèi)下載，雖然微軟官方聲稱IE8給用戶上網(wǎng)提供了更簡(jiǎn)化的操作和更安全的功能，但其安全性仍存在嚴(yán)重問(wèn)題，用戶上網(wǎng)仍會(huì)被掛馬、釣魚(yú)網(wǎng)站所威脅。經(jīng)過(guò)瑞星安全專家測(cè)試，使用IE8瀏覽器過(guò)程中，目前互聯(lián)網(wǎng)上泛濫的掛馬網(wǎng)站和釣魚(yú)網(wǎng)站是無(wú)法有效攔截防御的。測(cè)試分別訪問(wèn)了2009-taobao.com這個(gè)冒充淘寶網(wǎng)（正確網(wǎng)址www.taobao.com）的釣魚(yú)網(wǎng)站和http://www.fc5656.****s.htm掛馬網(wǎng)站均無(wú)法攔截。

2、掛馬網(wǎng)站壽命分析

“掛馬網(wǎng)站壽命”是指網(wǎng)站從開(kāi)始被掛馬到掛馬被消除（或被攔截）的時(shí)間間隔。關(guān)于這個(gè)“壽命”的問(wèn)題越來(lái)越值得重視，因?yàn)閽祚R網(wǎng)站壽命越長(zhǎng)，可能傳播及受害面就越廣，受到安全威脅的用戶數(shù)量就越多。瑞星“云安全”數(shù)據(jù)中心截獲的數(shù)據(jù)表明，截獲次數(shù)最多的前十名掛馬網(wǎng)站短的1天，最長(zhǎng)的壽命是5天。掛馬網(wǎng)站壽命終結(jié)的原因可能有幾種：一是該網(wǎng)頁(yè)被具有防掛馬功能的安全軟件攔截；二是該網(wǎng)頁(yè)的惡意代碼被網(wǎng)站管理員清除；三是黑客自己撤掉該網(wǎng)頁(yè)中的惡意代碼；四是該網(wǎng)頁(yè)已關(guān)閉無(wú)法訪問(wèn)。

瑞星“云安全”數(shù)據(jù)中心統(tǒng)計(jì)數(shù)據(jù)還表明，“掛馬網(wǎng)站壽命”和受攻擊人次并不成正比，也就是說(shuō)，壽命短的“掛馬網(wǎng)站”侵害用戶數(shù)量并不少。比如http://***.710sese.cn/***/ss.htm壽命僅短短的1天，期間就有2244051人次受到攻擊，被攔截次數(shù)的排名迅速躍居到第一位。

參加瑞星“云安全”計(jì)劃，可以縮短掛馬網(wǎng)站的壽命。瑞星“云安全”數(shù)據(jù)中心于2009年1月16日第一次監(jiān)控到木馬網(wǎng)站http://%%%%.706sese.cn，發(fā)現(xiàn)在一天之內(nèi)有1301018人次網(wǎng)民受到攻擊。監(jiān)控?cái)?shù)據(jù)表明，它的壽命長(zhǎng)達(dá)約兩個(gè)月，一直持續(xù)到3月11日。但是，對(duì)于加入“云安全”并及時(shí)升級(jí)瑞星軟件的用戶來(lái)說(shuō)，這個(gè)網(wǎng)站的“壽命”僅為1天！原因是，由于瑞星迅速將其加入掛馬網(wǎng)站庫(kù)，基于“云安全”技術(shù)的瑞星全功能安全軟件和瑞星個(gè)人防火墻便可以自動(dòng)攔截該掛馬網(wǎng)站。瑞星“云安全”數(shù)據(jù)中心統(tǒng)計(jì)表明，在這之后瑞星自動(dòng)攔截該惡意網(wǎng)木馬網(wǎng)站高達(dá)4080776次，為廣大網(wǎng)民提供了強(qiáng)有力的安全防護(hù)。#p#

3、票務(wù)中國(guó)被黑客惡意掛馬

2009年1月21日，流行票務(wù)網(wǎng)站“票務(wù)中國(guó)（http://www.piaocn.com/）”被黑客惡意掛馬，網(wǎng)頁(yè)中被植入惡意代碼，代碼位于域名為http://####.706sese.cn的服務(wù)器上。用戶一旦訪問(wèn)該網(wǎng)站訂票，就會(huì)被下載大量盜號(hào)木馬病毒，從而導(dǎo)致網(wǎng)游、網(wǎng)銀或QQ賬號(hào)密碼丟失。當(dāng)時(shí)，掛馬網(wǎng)站706sese已經(jīng)名列掛馬網(wǎng)站排行榜第一位，一周內(nèi)侵襲了144萬(wàn)人次網(wǎng)民。  

圖

(票務(wù)中國(guó)被掛馬)

票務(wù)網(wǎng)站、電影下載網(wǎng)站已經(jīng)成為黑客掛馬的重災(zāi)區(qū)，占據(jù)了近期所有類型掛馬網(wǎng)站的80%以上。由于此類網(wǎng)站在節(jié)日期間的訪問(wèn)量巨大，中毒用戶的數(shù)量將不在少數(shù)。

每當(dāng)國(guó)慶、元旦、春節(jié)、圣誕節(jié)這樣的大型節(jié)日臨近，網(wǎng)民們會(huì)通過(guò)網(wǎng)上訂票等方式豐富自己的節(jié)日生活，或通過(guò)互聯(lián)網(wǎng)查詢并購(gòu)買回家的機(jī)票、查找自己感興趣的網(wǎng)游外掛，或下載喜歡的電影或游戲。黑客正是瞄準(zhǔn)了這個(gè)機(jī)會(huì)，通過(guò)惡意掛馬，使很多網(wǎng)民經(jīng)常訪問(wèn)的網(wǎng)站被黑，最終使用戶電腦中毒，經(jīng)濟(jì)利益受損。

4、“獵殺者外掛”被掛馬

2009年3月2日，瑞星“云安全”系統(tǒng)截獲的數(shù)據(jù)表明，網(wǎng)游玩家中流行的“獵殺者外掛”程序被黑客掛馬，截至當(dāng)天17時(shí)為止，瑞星已攔截到59169人次網(wǎng)民訪問(wèn)該帶毒網(wǎng)頁(yè)。 

圖

根據(jù)瑞星公司技術(shù)部門分析，被植入木馬的網(wǎng)頁(yè)為獵殺者外掛內(nèi)嵌的網(wǎng)頁(yè)，玩家在使用獵殺者外掛之后，會(huì)自動(dòng)打開(kāi)那個(gè)被掛馬的網(wǎng)頁(yè)。由于該外掛使用者眾多，因此訪問(wèn)量非常大，在短短的時(shí)間之內(nèi)，才侵襲了如此多的玩家。

據(jù)了解，獵殺者外掛被植入的木馬地址為http://***.230it.cn/，該惡意網(wǎng)木馬網(wǎng)站當(dāng)日攔截的掛馬網(wǎng)站的22.91%。玩家一旦訪問(wèn)了被掛馬的網(wǎng)頁(yè)，電腦會(huì)被下載病毒下載器、盜號(hào)木馬、蠕蟲(chóng)等惡性病毒，對(duì)玩家的利益造成嚴(yán)重影響。

5、“極品時(shí)刻表”被掛馬

2009年3月9日，瑞星“云安全”系統(tǒng)提供的數(shù)據(jù)表明，網(wǎng)民中流行的“極品時(shí)刻表”軟件被黑客掛馬，截至當(dāng)天19時(shí)為止，瑞星已攔截到66757人次網(wǎng)民遭到攻擊。極品時(shí)刻表內(nèi)嵌的網(wǎng)頁(yè)被黑客植入木馬，當(dāng)用戶使用該軟件查詢列車車次時(shí)，就會(huì)遭到攻擊。 

圖

（點(diǎn)擊“查詢”按鈕之后，該軟件自動(dòng)打開(kāi)的內(nèi)嵌廣告頁(yè)帶毒） 　　

被植入木馬的網(wǎng)頁(yè)為極品時(shí)刻表內(nèi)嵌的廣告網(wǎng)頁(yè)，用戶在使用“查詢”功能之后，該軟件會(huì)自動(dòng)打開(kāi)那個(gè)被掛馬的網(wǎng)頁(yè)。該網(wǎng)頁(yè)中使用了多個(gè)常用軟件的流行漏洞，如果用戶沒(méi)有做好相應(yīng)的防護(hù)，很容易中毒。 　　

據(jù)了解，極品時(shí)刻表被植入的木馬地址為http://***.6t65r.cn/，該惡意網(wǎng)木馬網(wǎng)站量在那幾天上升極快，可能黑客還把該網(wǎng)頁(yè)植入了其它常用網(wǎng)站或軟件當(dāng)中。玩家一旦中毒，電腦會(huì)被下載病毒下載器、盜號(hào)木馬、蠕蟲(chóng)等惡性病毒，從而帶來(lái)極大的安全風(fēng)險(xiǎn)。#p#

6、酷狗兩次掛馬事件

從監(jiān)測(cè)數(shù)據(jù)看，酷狗在2009年2月25日曾被掛馬，當(dāng)天截獲到KuGoo.exe訪問(wèn)掛馬網(wǎng)站的數(shù)量為337519，第二天2月26日為480800，那一次掛馬的“壽命”長(zhǎng)達(dá)兩天，直到2月27日才清除了掛馬。3月14日通過(guò)KuGoo.exe進(jìn)程訪問(wèn)掛馬網(wǎng)站數(shù)據(jù)量暴增，為724381，達(dá)到平時(shí)訪問(wèn)量的30倍之多，那次掛馬持續(xù)了一天，3月15日被清除恢復(fù)正常，當(dāng)天顯示數(shù)量下降至18964。

以3月14日為例，最早在3月14日凌晨4點(diǎn)19分酷狗論壇上就有用戶反饋酷狗被掛馬，直至當(dāng)天中午11點(diǎn)47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站為的“壽命”越長(zhǎng)，傳播和受害面就越廣。尤其是沒(méi)有安裝網(wǎng)頁(yè)木馬攔截功能的軟件的這部分用戶，絲毫察覺(jué)不到自己的計(jì)算機(jī)已遭到攻擊、入侵。一旦木馬病毒下載后自動(dòng)運(yùn)行，信息安全就受到嚴(yán)重威脅。 

圖

7、黑客網(wǎng)站明碼標(biāo)價(jià) “買主”按臺(tái)數(shù)購(gòu)買染毒電腦

2009年3月18日，瑞星通過(guò)“云安全”系統(tǒng)截獲一個(gè)黑客建立的染毒電腦銷售網(wǎng)站（http://121.***.127.73/），登陸這個(gè)網(wǎng)站，就可以看到他們總共控制了多少臺(tái)染毒電腦（或稱“肉雞”）、染毒電腦的IP地址等詳細(xì)數(shù)據(jù)。這是黑客用來(lái)向“客戶”銷售“肉雞”的網(wǎng)站，“客戶”可以選擇“肉雞”的IP地址，然后按照臺(tái)數(shù)和控制時(shí)間等等條件付款，獲得這些“肉雞”的控制權(quán)。    

從目前該網(wǎng)站的數(shù)據(jù)來(lái)看，該黑客至少已經(jīng)控制了34795臺(tái)電腦，并以每天150臺(tái)左右的速度增長(zhǎng)。下圖中的“安裝總數(shù)量”就是黑客控制的染毒電腦臺(tái)數(shù)；下面的“最后30臺(tái)安裝者”中，可以看到染毒電腦的IP、中毒時(shí)間等數(shù)據(jù)。    

圖

所謂“肉雞”就是被黑客控制的電腦，黑客在這些電腦中植入木馬、后門等病毒，或者利用電腦的不安全設(shè)置（如管理員賬號(hào)密碼過(guò)于簡(jiǎn)單、系統(tǒng)存在漏洞、未安裝殺毒軟件等）等條件，在用戶未察覺(jué)的狀況下遠(yuǎn)程控制這些電腦，進(jìn)行各種非法操作，國(guó)內(nèi)非常著名的“灰鴿子”病毒就是典型的后門程序。    

圖

( 某“后門”程序控制端界面)#p#

四、惡意網(wǎng)站掛馬分析

1、利用各種漏洞

2009年第一季度，黑客對(duì)于漏洞的利用趨勢(shì)沒(méi)有明顯轉(zhuǎn)變，其主要用途仍然在網(wǎng)頁(yè)掛馬上，包括RealPlayer、迅雷、PPlive等流行軟件都出現(xiàn)過(guò)嚴(yán)重漏洞，被黑客利用傳播木馬。

由于目前流行的各種熱門網(wǎng)站、客戶端軟件和瀏覽器，都存在著眾多漏洞和安全薄弱點(diǎn)，使得用戶遭到攻擊的渠道暴增；而且，隨著黑客-病毒產(chǎn)業(yè)鏈臻于完善，支撐互聯(lián)網(wǎng)發(fā)展的多種商業(yè)模式都遭到了盜號(hào)木馬、木馬點(diǎn)擊器的侵襲，使得用戶對(duì)于網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)游產(chǎn)業(yè)的安全信心遭到打擊。

瑞星專家提醒說(shuō)，現(xiàn)在的木馬病毒絕大多數(shù)通過(guò)漏洞傳播，而且多數(shù)木馬病毒運(yùn)行時(shí)沒(méi)有明顯的異常特征，用戶很難及時(shí)發(fā)現(xiàn)自己已經(jīng)中毒。只要用戶電腦上的漏洞存在，訪問(wèn)掛馬網(wǎng)站中毒的風(fēng)險(xiǎn)就一直存在。即使安裝了殺毒軟件，也只能在病毒入侵時(shí)攔截，風(fēng)險(xiǎn)比彌補(bǔ)漏洞之后會(huì)高許多倍。

2、針對(duì)合法信賴的網(wǎng)站

門戶網(wǎng)站、Web2.0以及搜索類網(wǎng)站代表了當(dāng)前網(wǎng)站的典型形式，同時(shí)也成為黑客們關(guān)注的焦點(diǎn)。借助這些網(wǎng)站龐大的數(shù)據(jù)庫(kù)、良好的信譽(yù)和對(duì)Web2.0應(yīng)用的有力支持，這些網(wǎng)站擁有高可信賴度和良好的信譽(yù)，為那些惡意程序的制造者創(chuàng)造了大量的機(jī)會(huì)。傳統(tǒng)上，網(wǎng)民們有如下錯(cuò)誤觀念：只有不良網(wǎng)站才會(huì)帶毒、才會(huì)被掛馬，只要堅(jiān)持良好的瀏覽習(xí)慣，就可以躲避盜號(hào)木馬的侵襲。統(tǒng)計(jì)數(shù)據(jù)表明，這樣的觀念已經(jīng)過(guò)時(shí)，那些所謂的“正常網(wǎng)站、大中型網(wǎng)站”正在整個(gè)木馬鏈條中發(fā)揮著越來(lái)越重要的作用。

瑞星公司的抽樣統(tǒng)計(jì)顯示，每天約有30%的網(wǎng)民上網(wǎng)時(shí)會(huì)遇到掛馬網(wǎng)站。這些掛馬網(wǎng)站中80%以上屬于管理不嚴(yán)的正規(guī)網(wǎng)站，其中包括新聞網(wǎng)站、網(wǎng)絡(luò)論壇、博客網(wǎng)站等。多個(gè)主流門戶網(wǎng)站首頁(yè)懸掛的廣告中被植入木馬病毒，用戶訪問(wèn)這些網(wǎng)站就會(huì)中毒。顯而易見(jiàn)，越來(lái)越多的惡意攻擊源自合法可信賴的網(wǎng)站。

3、利用“肉雞”牟利

黑客利用“肉雞”一般有以下幾種方式：  

（1）黑客一旦控制了“肉雞”，就可以很方便地從該電腦中盜取用戶的隱私信息。如網(wǎng)銀、網(wǎng)游、聊天工具等軟件的賬號(hào)密碼，以及私人文檔、照片等；  

（2）控制攝像頭進(jìn)行偷拍。很多游戲玩家和下載狂人的電腦經(jīng)常是24小時(shí)開(kāi)機(jī)，如果攝像頭沒(méi)有拔掉，就會(huì)被黑客偷拍，進(jìn)行網(wǎng)上公布、甚至敲詐勒索。  

（3）幫助某些流氓廠商提高安裝量或點(diǎn)擊率。黑客可以在“肉雞”中安裝大量的插件或流氓軟件，瘋狂點(diǎn)擊或彈出廣告，從廣告主那里收獲廣告費(fèi)；  

（4）將“肉雞”直接出賣給從事盜號(hào)或其他非法目的的人；  

（5）黑客控制了一定數(shù)量的“肉雞”，同時(shí)自動(dòng)刷新訪問(wèn)某個(gè)網(wǎng)站，提升該網(wǎng)站的訪問(wèn)量、造成網(wǎng)站癱瘓(DDos攻擊），或者使某個(gè)網(wǎng)站服務(wù)器、防火墻癱瘓，國(guó)內(nèi)很多游戲廠家曾經(jīng)就受到過(guò)這種攻擊，并被勒索。

此前央視3•15晚會(huì)上曝光的網(wǎng)上出售的個(gè)人信息，有很多就是通過(guò)這種途徑竊取來(lái)，掛馬網(wǎng)站已經(jīng)成為個(gè)人信息泄露的重要途徑之一。         

建議網(wǎng)民采取以下措施，讓電腦避免成為“肉雞”： 

設(shè)置復(fù)雜系統(tǒng)管理員密碼，通常建議設(shè)為8位以上數(shù)字、字母、符號(hào)的組合； 

關(guān)閉危險(xiǎn)的端口（TCP137、445、3389和UDP135、139、445、）和沒(méi)有必要的服務(wù)； 

及時(shí)更新系統(tǒng)和第三方軟件的漏洞； 

安裝并及時(shí)升級(jí)殺毒軟件和防火墻； 

經(jīng)常檢查系統(tǒng)日志、服務(wù)、注冊(cè)表等相關(guān)項(xiàng)。

4、瑞星掛馬網(wǎng)站攔截功能

以“票務(wù)中國(guó)（http://www.piaocn.com/）”被黑客惡意掛馬為例，如果安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”，當(dāng)網(wǎng)民瀏覽掛馬網(wǎng)站時(shí)，瑞星2009會(huì)立即提示網(wǎng)頁(yè)存在惡意代碼，并顯示漏洞名稱，如下圖。   

圖

再以“極品時(shí)刻表”被掛馬為例，被植入木馬的網(wǎng)頁(yè)為極品時(shí)刻表內(nèi)嵌的廣告網(wǎng)頁(yè)，用戶點(diǎn)擊“查詢”按鈕之后，該軟件會(huì)自動(dòng)打開(kāi)那個(gè)被掛馬的網(wǎng)頁(yè)。安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會(huì)立即提示網(wǎng)頁(yè)存在惡意代碼，并顯示病毒名稱，如下圖。因?yàn)槠洫?dú)有的“木馬入侵?jǐn)r截”功能可以攔截掛馬網(wǎng)站帶有的木馬。 

圖

“瑞星殺毒軟件2009”、“瑞星全功能安全軟件”產(chǎn)品都擁有掛馬網(wǎng)站攔截功能，可以自動(dòng)攔截網(wǎng)頁(yè)中帶有的掛馬網(wǎng)站，在木馬進(jìn)入用戶電腦之前即將其攔截。