新闻中心

作者：安启华安全实验室

 

本季度安启华安全实验室共截获各类Malware约140万，其中木马占了一半以上，其余比重较大的依次为间谍软件，蠕虫，后门程序，风险软件和广告软件，传统病毒和其它类别所占比重较小。

 

 

当前的Malware基本都是以赚取经济利益为目的，窃取用户信息和发布广告成为其最主要的赚钱方式。其它行为基本都是为这两种行为服务的。下面是当前Malware的主要行为：

 

 

导致当前Malware数量巨大的一个主要原因是：Malware的生产已经自动化，使用特定的制作工具可以为一个原始Malware创建上千个不同的多态版本，这给防毒产品的检测带来困难，使得防毒产品不得不通过特殊的方法来检测它们。在我们的检测中，Trojan/Xpack， Worm/Waledac和Virus/Win32.Virut病毒家族就是这其中的典型代表。

 

要把网站上的Malware安装到用户系统中，除使用社会工程学的手段外，更主要的是通过网站上的JavaScript/VBScript程序自动将相关Malware下载安装到用户系统中。为了达到这个目的，这些脚本程序通常会利用相关的溢出漏洞来绕过浏览器的安全设置，自动执行这种不安全的操作。

 

下面是近期仍然被Malware发布者广泛使用的漏洞：

1．Windows系统相关的漏洞，常见于网页木马

    MS06014（CVE-2006-0003）

    Microsoft Access Snapshot Viewer ActiveX漏洞:MS08041（CVE-2008-2463）

    MS09002（CVE-2009-0075）

 

2．常用的第三方软件漏洞，常见于网页木马

    Real Player播放器漏洞（CVE-2007-5601）

    Adobe Flash浏览插件（CVE-2009-0520）

    PDF ActiveX（CVE-2009-0658）

 

3．中国地区某些第三方软件漏洞，常见于中国的网页木马

    联众游戏大厅漏洞（CVE-2007-5722）

    暴风影音播放器漏洞（CVE-2007-4816）

    超星浏览器漏洞（CVE-2007-5892）

 

4．微软Office软件漏洞，常通过邮件附件传播，多见于台湾地区

    Excel漏洞（CVE-2009-0238）

    PowerPoint漏洞（CVE-2009-0556）

 

下面是一个典型的网页木马的部分内容，包含的有害链接涉及到8个常用漏洞。

 

 

 

我们知道，僵尸网络是指那些被安装了带有后门功能的Malware机器，这些机器在某些情况下会被黑客控制。控制者可以利用这些机器收集用户信息、发送垃圾邮件、增加网站点击率、攻击服务器等，并以此获得经济利益。那么僵尸网络离我们有多远呢？尽管我们的电脑似乎仍然在我们自己的掌控之下，但我们可能不知道是否有他人也在悄然控制着我们的电脑。

 

一个用户在浏览着某著名大型网站的论坛，突然发现一个诱人的内容链接，跟进去后发现需要下载文件，下载之后得到一个自解压包，双击打开后，终于看到了里面的内容，却又发现并没有什么特别之处，然后随手删除它。可之后该用户却发现系统经常会自动打开一些网站，原来用户刚才已经不知不觉的被诱骗安装了木马。这是社会工程学在Malware传播中的一个范例，这个用户决不是仅有的一个上当者，通过对该木马的分析研究，我们发现了它会向远程服务器提交用户机器的信息，我们有幸发现了在该服务器上的安装统计平台，更幸运地是我们成功登录上了该统计平台。该统计平台显示，已经有23208台电脑安装了该木马，每天都有1500多人上当。仅仅10多天，一个包含23000多台电脑的僵尸网络就形成了。

 

 

 

由于当前的网站主要是采用Web程序+数据库的架构，那些未遵守安全编程规范的网站普遍存在着SQL注入漏洞，SQL注入攻击成了当前Web服务器面临的主要威胁。下面是对某单位网站自6月21日起的10天之内所受的SQL攻击次数统计。从图中可以看出，该网站平均每天受攻击次数在500次以上。

 

 

 

下面是安启华Web安全网关6月28日拦截到的针对该单位网站的一次典型的SQL注入攻击。

 

 

 

 

该SQL注入攻击成功后，会在网站的数据库内大量的插入该木马链接，网页在显示数据库内容的同时，也会显示数据库内的木马链接，访问该网页的用户就有可能感染相关的木马。通过Google搜索该木马链接，可以发现大量的网站被成功注入了该木马链接。而上面的用户由于启用了安启华的Web服务器保护功能，成功的阻止了SQL注入攻击。

 

 

由于动态域名可以即时注册，即时生效，从域名注册到被用来发布Malware几乎是同时的，这些新注册的二级域名对依赖于站点过滤的安全厂商来说完全是未知的，使用这些新注册的二级动态域名来发布Malware容易突破某些完全依赖于站点过滤的安全设备的拦截。一些域名服务商提供了免费的二级动态域名服务，Malware发布者便乘机免费注册了大量的二级动态域名，并随时用来发布最新的Malware。

 

3322.org就是一家提供免费注册二级动态域名的服务商， Malware发布者注册了大量的3322.org的二级域名用来发布大量的Malware. 据不完全统计，仅6月份，该域名下被用来大量发布Malware的二级域名就达200多个。这些恶意网站的大量传播严重的影响了3322.org的声誉，以至于在百度中搜索3322.org时，百度会将木马和病毒作为它的最经常使用的关联搜索组合词。

 

 

 

 

 

 

对于Web2.0技术的成功应用者，微博客服务商Twitter来说，今年四月是个不寻常的月份。4月11日，一位特殊的客人光顾了它：一只蠕虫爬上了Twitter，它躲在Twitter用户的附属信息里。一旦有人查看了该用户的信息，这只蠕虫就会感染访问者的用户信息，访问者就会成为该蠕虫的新的传播者。就这样，它迅速感染了上千个Twitter用户。所有被感染用户的状态信息都被更改为有关StalkDaily网站的广告。

 

这只蠕虫的主人是个年仅17岁的男孩Mikeyy Mooney。 他发现了Twitter的用户配置存在XSS（Cross Site Scripting）漏洞，便利用XSS漏洞释放了这个蠕虫。该蠕虫先是窃取了用户的Cookie信息，然后又利用CSRF（Cross Site Request Forgeries）技术修改了用户的状态信息和URL。

 

 

 

尽管Twitter随后清除了该蠕虫，并修复了该蠕虫所利用的XSS漏洞，但几天之内，蠕虫作者又在Twitter的其它地方发现了XSS漏洞，并发布了新的蠕虫。这使得Twitter不得不忙于清除新蠕虫，修复新的XSS漏洞。发生在Twitter上的这一连串安全事件，让我们意识到了Web2.0在安全上的脆弱性。