个链接出现频率最高,且出现有一个pdf网马,使用网马解密工具分析,出现截然两种不同的网马下载地址,使用相关的下载工具验证下载,解密出网马地址均为真实有效的可以下载的地址。虽然这个漏洞大概在2008年左右出现,也是在近期分析国内所挂恶意链接地址中,出现pdf网马。这也充分说明了pdf网马应该会在2009年下半年国内网页挂马中,增加黑客牟利成功的砝码。
7、微软最新视频控件漏洞导致木马爆发
7月7日,瑞星公司发布橙色安全警报,微软视频控件(Microsoft Video ActiveX Control)漏洞导致的挂马网站攻击大幅增加,7月5日凌晨瑞星“云安全”系统首次监控到利用该漏洞的攻击代码出现,随后的5日6日短短两天内,监测到130万用户遭到利用该漏洞的攻击。
瑞星安全专家分析,产生漏洞的原因是用户系统中的msvidctl.dll组件不正确读取持久化的字节数组,攻击者可随意覆盖SEH或者RET,将EIP 设置成任意数值,结合javascript堆喷射方式可远程执行任意代码,黑客不必让用户运行被恶意修改的视频文件就可以进行挂马攻击。用户一旦访问被挂马的网站后,就会自动触发MPEG-2视频组件的msvidctl.dll组件,然后运行黑客植入的网页木马,最终下载大量盗号木马病毒,导致用户电脑系统异常甚至蓝屏,并盗取用户网游账号密码等个人信息。
8、微软Office漏洞导致大量挂马网站
7月13日,继微软视频控件漏洞出现之后,微软Office网络组件远程控制漏洞被黑客利用,进行挂马攻击。根据瑞星“云安全”系统监测,5日内已有133余万台电脑遭攻击。北京时间14日凌晨,微软已经发布了针对该漏洞的通告。
该漏洞危害全系列Windows系统,黑客可利用该漏洞来构建挂马网站,用户访问这些网站后即会被感染,植入木马下载器、盗号木马等恶意程序。目前该漏洞没有官方补丁,瑞星杀毒软件2009、瑞星全功能安全软件2009中的独有“网页防挂马”模块,采用“网页脚本行为分析技术”,无需补丁即可有效拦截利用该漏洞的挂马网站。
五、2009年上半年度恶意网站挂马分析
1、利用各种漏洞挂马
2009年上半年,黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网页挂马上,如:Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时,针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。由于目前流行的各种热门网站、客户端软件和浏览器,都存在着众多漏洞和安全薄弱点,使得用户遭到攻击的渠道暴增;而且,随着黑客-病毒产业链臻于完善,支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭,使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。
瑞星“云安全”系统监测发现,一旦出现微软漏洞,很快会被恶意攻击者广泛采用来进行网页挂马活动:
2009年2月,瑞星公司发出第一个红色(一级)安全警报,因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看,该漏洞补丁发布日期前后的一段时间,恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。仅在2月19日就截获了高达866万人次的挂马网站攻击,比前一天增加了一倍之多。
2009年6月,微软DirectShow爆严重漏洞,黑客利用热门视频传播木马已成为惯用伎俩,而对“DirectShow视频开发包”漏洞的利用则是在视频播放时下载木马,而视频文件本身并不需要捆绑木马,因此可以避开杀毒软件和防火墙的防护,黑客可以通过在线播放“网页挂马”、 网友间视频共享等多种途径传播木马。该漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。攻击者可随意查看、9
7
3
1
2
3
4
5
6
7
8
9
4
8
: