卡巴斯基實驗室2007年上半年的追蹤惡意網(wǎng)站及惡意軟件（通過網(wǎng)站傳播）報告中顯示，近幾年，惡意軟件傳播方法已經(jīng)發(fā)生了變化，從固定的介質(zhì)（硬盤）轉(zhuǎn)向郵件傳播（如聲名狼藉的愛蟲郵件）以及直接的網(wǎng)絡(luò)攻擊（如紅色代碼）。如今惡意軟件最新的發(fā)展是通過萬維網(wǎng)傳播。

基于網(wǎng)頁的惡意軟件快速增長有很多因素，其中一個原因是由于在2003到2006年發(fā)現(xiàn)了微軟IE存在大量漏洞。另外一個原因是由于大多數(shù)反病毒引擎和訪問網(wǎng)頁的方式在理念和設(shè)計上不兼容，因為大多數(shù)反病毒引擎需要拷貝整個文件來檢測是否感染病毒，這就會在掃描類似網(wǎng)頁流文件時發(fā)生問題。當然，此問題可通過代理層方案解決，先高速下載流量，下載完畢后便會將其傳至反病毒引擎，然而，這種方式也不是很普及。

基于網(wǎng)頁的惡意軟件快速增長的另外一個因素或許是因為企圖阻止電子郵件中的可執(zhí)行格式附件。早在2003年和2004年，大多數(shù)惡意軟件通過電子郵件傳播（如.EXE/.SCR/.PIF文件等），許多系統(tǒng)管理員決定完全禁止電子郵件中的可執(zhí)行格式文件，這樣做的直接結(jié)果就是惡意軟件作者開始使用壓縮文件傳播－如ZIP文件。早在2006年，包含漏洞的微軟Office文件也是惡意軟件傳播的載體。

惡意軟件作者想到了一個簡單的方法來解決這個問題：他們放棄電子郵件來發(fā)送惡意軟件主程序，而開始發(fā)送包含惡意程序的網(wǎng)站鏈接地址。因為郵件網(wǎng)關(guān)僅過濾郵件正文，不可能檢測在郵件中是否鏈接惡意網(wǎng)站，利用這種手段可以達到目的。

上面列舉的因素是惡意軟件傳播的方式，誘惑用戶打開包含惡意軟件的web服務(wù)器，或者手動執(zhí)行惡意軟件（社會工程學(xué)），或者利用用戶網(wǎng)頁瀏覽器漏洞達到攻擊目的。

傳播方法

包含在網(wǎng)站中的惡意軟件感染用戶計算機主要有兩種方法：

第一種方法利用社會工程學(xué)攻擊，例如，攻擊者發(fā)送一封包含網(wǎng)頁鏈接的郵件，聲稱該鏈接網(wǎng)站很有趣，以下為此類電子郵件實例：


圖1. 內(nèi)含有惡意軟件鏈接的電子郵件

在上面的郵件中，YouTube鏈接是一個假冒網(wǎng)站，當打開該網(wǎng)頁時將顯示“無法找到該視頻”，影片的HREF鏈接卻指向另一個IP地址的網(wǎng)站，當用戶訪問時顯示以下內(nèi)容：


圖2. 包含惡意軟件的假冒網(wǎng)站

“點擊這里”鏈接將指向名為“video.exe”的可執(zhí)行文件，其為Zhelatin的一個變種，也稱為風暴蠕蟲。

惡意軟件傳播的第二種方法是通過網(wǎng)頁瀏覽器漏洞感染系統(tǒng)，以下是這種方式的例子：


圖3. 包含漏洞的網(wǎng)頁源代碼，目的攻擊Mozilla Firefox

上面的圖片顯示了網(wǎng)頁中的一部分，該網(wǎng)頁包含已加密網(wǎng)頁瀏覽器漏洞。大多數(shù)包含網(wǎng)頁瀏覽器漏洞的站點會使用一些模糊化技術(shù)，其目的是避免基本的可以通過掃描TCP/IP流的 IDS檢測，這些掃描的類型是已知的，也相當于簡單基于代碼的反病毒系統(tǒng)，該漏洞代碼一旦被解密，將進行分析：


圖4. 解密攻擊程序部分畫面(Trojan-Downloader.JS.Agent.ep)

既然如此，惡意代碼試圖加載具有很長名稱的“.WMV”文件，這是Windows Media Player插件 EMBED溢出漏洞（在微軟Windows 安全公告MS06-006－說明“Windows Media Player 插件由于其處理格式錯誤的 EMBED 元素而存在一個遠程執(zhí)行代碼漏洞(911564)）。現(xiàn)今瀏覽器回將此類要求傳送到Windows Media Player，一旦檢測到漏洞，將導(dǎo)致系統(tǒng)崩潰。有趣的是，即使系統(tǒng)已經(jīng)更新到網(wǎng)頁瀏覽器的最新版本，如果Windows Media Player有漏洞，系統(tǒng)仍然可以被感染。

如以上所述，惡意程序有兩種主要的方法通過網(wǎng)絡(luò)入侵受害者計算機：通過利用社會工程學(xué)或者網(wǎng)頁瀏覽器漏洞。不過您也無需感到驚訝，因為在大多數(shù)情況下，惡意程序作者依靠這兩種方法結(jié)合來提高入侵成功率。

上面提到的例子Zhelatin就是利用了這兩種技術(shù)的結(jié)合，傳播該蠕蟲的后臺程序似乎使用PHP語言編寫，惡意網(wǎng)頁在給用戶前要做很多事情。最重要的是，它要檢查瀏覽器User-Agent標識符，假如該標識符不常見，如蘋果操作系統(tǒng)中的Safari或Linux中的Lynx，將使用社會工程學(xué)技術(shù)發(fā)布網(wǎng)頁。假如瀏覽器標識符看起來屬于Internet Explorer，如“Mozilla/4.0”(和MSIE 6.0; Windows NT 5.1相兼容)，它將發(fā)布包含特殊IE攻擊程序的網(wǎng)頁，在Firefox中也是如此。

前20位惡意軟件來源國家

惡意軟件來自哪里呢？要回答這個問題，很有必要來回顧一下黑客操縱惡意軟件的解決方案。

今天已經(jīng)發(fā)現(xiàn)了大量猖獗的惡意軟件，他們的傳播方式很多�？梢栽谌肭值募彝ビ嬎銠C上發(fā)現(xiàn)其蹤影，他們通過運行少量http服務(wù)的計算機的僵尸入侵計算機并將其變?yōu)閭鞑�點。也可以在一些被黑客攻擊的ISPS網(wǎng)站上發(fā)現(xiàn)。這對于提供給用戶免費網(wǎng)頁空間來建立自己的網(wǎng)站是常見的選擇，如www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru or www.home.ro等。

也有一些情況是使用偷竊來的信用卡去合法網(wǎng)絡(luò)提供商那里購買域名和主機資源，目的是傳播惡意軟件。

今年早些時候，一個中等規(guī)模的托管公司遭受了黑客的攻擊，黑客利用控制面板版本的漏洞獲得了托管在該公司服務(wù)器上所有帳號權(quán)限，該攻擊者檢查了入侵計算機上的所有網(wǎng)站的主頁，利用IE漏洞加入了一小段腳本語言，黑客還安裝了惡意軟件，包含隱藏程序。在類似攻擊事件中，二月份超級杯海豚體育場網(wǎng)站被黑客攻擊，在網(wǎng)頁源代碼中注入了漏洞�；蛟S近期出現(xiàn)的是印度銀行網(wǎng)站被攻擊事件，該事件發(fā)生在2007年8月底，在這次攻擊中，主頁代碼被修改，在其中加入了一個IE IFRAME漏洞，這樣可以進一步有利于惡意軟件傳播。

以下為使用Akross系統(tǒng)檢測到的傳播惡意軟件IP地址地理分布圖：

排名 國家及地區(qū) 百分比
1. 中國 31.44
2. 美國 25.90
3. 俄國 11.05
4. 巴西 4.40
5. 南韓 3.64
6. 阿根廷 2.90
7. 德國 2.31
8. 法國 1.70
9. 巴拿馬 1.53
10. 荷蘭 1.31
11. 烏克蘭 1.26
12. 加拿大 1.24
13. 西班牙 1.15
14. 英國 1.15
15. 香港特別行政區(qū) 0.83
16. 意大利 0.72
17. 葡萄牙 0.70
18. 羅馬尼亞 0.68
19. 臺灣省 0.65
20. 馬來西亞 0.52

前20位惡意軟件來源國家及地區(qū)

中國以31.44％的惡意網(wǎng)站數(shù)量居排行榜首位，美國以25.90%緊鄰其后，這些國家在近幾年相關(guān)的惡意軟件統(tǒng)計中幾乎一直占主導(dǎo)地位，要改變排名先后取決于惡意軟件編寫的趨勢和操作系統(tǒng)的發(fā)展，十分有趣的是，在中國最流行的惡意軟件載體是被黑網(wǎng)站和所謂的“防彈主機”，在美國，主要是被黑客攻擊“.com”網(wǎng)站和一些利用竊取的信用卡購買到的合法主機資源。 俄羅斯和巴西占據(jù)第三和第四位。這些國家情況類似，因為大多數(shù)惡意程序托管在“免費主機資源”中，網(wǎng)絡(luò)服務(wù)提供商為用戶提供機會可以向計算機上傳自己的網(wǎng)站。

隨著惡意程序傳播方法的不斷變化，可以預(yù)料惡意程序的作者將繼續(xù)構(gòu)思感染計算機的新方式�，F(xiàn)有的傾向包括通過P2P網(wǎng)絡(luò)傳播或通過自由軟件傳播。

毫無疑問，在這種情況下，網(wǎng)絡(luò)成為惡意程序作者首選的傳播媒介，并且這種傳播方法在2007年五月似乎達到了高峰。不過從那以后，新的惡意網(wǎng)站的數(shù)量在某種程度上有所下降。盡管這是個好消息，但每天仍然有很多新的惡意網(wǎng)站出現(xiàn)，誘惑用戶的社會工程學(xué)技術(shù)或攻擊程序變得越來越復(fù)雜。

中國和美國是惡意網(wǎng)站數(shù)量的兩大巨頭，盡管上述兩國的政府做了最大的努力。惡意網(wǎng)站仍然盛行。雖然美國有能力在48小時內(nèi)關(guān)閉包含惡意網(wǎng)站，但中國卻并非如此。我們都知道，惡意網(wǎng)站在中國已經(jīng)肆虐一年之余，所有關(guān)閉包含的惡意網(wǎng)站的努力都以失敗而告終。在這種情況下，越來越多的惡意網(wǎng)站將會在中國落戶，所以中國正在成為惡意程序滋生的溫床。

卡巴斯基實驗室將一如既往的監(jiān)視這種狀況，我們在以后的文章中提供相關(guān)資料，讓用戶了解反病毒公司和互聯(lián)網(wǎng)的執(zhí)法單位的共同努力是否會降低傳播惡意軟件的網(wǎng)站數(shù)量。

同時，用戶應(yīng)當及時更新他們的操作系統(tǒng)，使用Internet Explorer 6的應(yīng)該換為Firefox、IE7和Opera等更佳安全的瀏覽器。最后，如本文以上所述，網(wǎng)站是當今惡意軟件傳播的主要媒介，因此擁有一款能夠監(jiān)控網(wǎng)絡(luò)流量的反病毒軟件絕對是必要的。

標簽： Google isp linux web服務(wù)器 安全 代碼 電子郵件 服務(wù)器 公司服務(wù)器 互聯(lián)網(wǎng) 腳本 漏洞 買域名 排名 權(quán)限 網(wǎng)絡(luò) 域名

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。