7、微软最新视频控件漏洞导致木马爆发

　　7月7日，瑞星公司发布橙色安全警报，微软视频控件（Microsoft Video ActiveX Control）漏洞导致的挂马网站攻击大幅增加，7月5日凌晨瑞星“云安全”系统首次监控到利用该漏洞的攻击代码出现，随后的5日6日短短两天内，监测到130万用户遭到利用该漏洞的攻击。

　　瑞星安全专家分析，产生漏洞的原因是用户系统中的msvidctl.dll组件不正确读取持久化的字节数组，攻击者可随意覆盖SEH或者RET，将EIP 设置成任意数值，结合javascript堆喷射方式可远程执行任意代码，黑客不必让用户运行被恶意修改的视频文件就可以进行挂马攻击。用户一旦访问被挂马的网站后，就会自动触发MPEG-2视频组件的msvidctl.dll组件，然后运行黑客植入的网页木马，最终下载大量盗号木马病毒，导致用户电脑系统异常甚至蓝屏，并盗取用户网游账号密码等个人信息。

　　8、微软Office漏洞导致大量挂马网站

　　7月13日，继微软视频控件漏洞出现之后，微软Office网络组件远程控制漏洞被黑客利用，进行挂马攻击。根据瑞星“云安全”系统监测，5日内已有133余万台电脑遭攻击。北京时间14日凌晨，微软已经发布了针对该漏洞的通告。

　　该漏洞危害全系列Windows系统，黑客可利用该漏洞来构建挂马网站，用户访问这些网站后即会被感染，植入木马下载器、盗号木马等恶意程序。目前该漏洞没有官方补丁，瑞星杀毒软件2009、瑞星全功能安全软件2009中的独有“网页防挂马”模块，采用“网页脚本行为分析技术”，无需补丁即可有效拦截利用该漏洞的挂马网站。

　　五、2009年上半年度恶意网站挂马分析

　　1、利用各种漏洞挂马

　　2009年上半年，黑客对于漏洞的利用趋势没有明显转变，其主要用途仍然在网页挂马上，如：Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时，针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。由于目前流行的各种热门网站、客户端软件和浏览器，都存在着众多漏洞和安全薄弱点，使得用户遭到攻击的渠道暴增；而且，随着黑客-病毒产业链臻于完善，支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭，使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。

　　瑞星“云安全”系统监测发现，一旦出现微软漏洞，很快会被恶意攻击者广泛采用来进行网页挂马活动:

　　2009年2月，瑞星公司发出第一个红色（一级）安全警报，因为针对IE7新漏洞（MS09--002）的病毒攻击代码在网上公布，导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看，该漏洞补丁发布日期前后的一段时间，恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。仅在2月19日就截获了高达866万人次的挂马网站攻击，比前一天增加了一倍之多。

　　2009年6月，微软DirectShow爆严重漏洞，黑客利用热门视频传播木马已成为惯用伎俩，而对“DirectShow视频开发包”漏洞的利用则是在视频播放时下载木马，而视频文件本身并不需要捆绑木马，因此可以避开杀毒软件和防火墙的防护，黑客可以通过在线播放“网页挂马”、 网友间视频共享等多种途径传播木马。该漏洞在播放某些经过特殊构造的QuickTime媒体文件时，可能导致远程任意代码执行。攻击者可随意查看、更改或删除数据或者创建拥有完全用户权限的新帐户。

　　2、利用CSS挂马

　　随着Web2.0技术以及Blog、Wiki等广泛的应用，各种网页特效用得越来越多，这也给黑客一个可乘之机。他们发现，用来制作网页特效的CSS代码，可以用来挂马。而比较讽刺的是，CSS挂马方式其实是从防范IFRAME挂马的CSS代码演变而来。CSS挂马方式，可以说是Web2.0时代黑客的最爱。

　　在Web1.0时代，使用IFRAME挂马对于黑客而言，与其说是为了更好地实现木马的隐藏，倒不如说是无可奈何的一个选择。在简单的HTML网页和缺乏交互性的网站中，黑客可以利用的手段也非常有限，即使采取了复杂的伪装，也很容易被识破，还不如IFRAME来得直接和有效。

　　但如今交互式的Web2.0网站越来越多，允许用户设置与修改的博客、SNS社区等纷纷出现。这些互动性非常强的社区和博客中，往往会提供丰富的功能，并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改，这促使了CSS挂马流行。

　　注意：CSS是层叠样式表(Cascading Style Sheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。

　　黑客在利用CSS挂马时，往往是借着网民对某些大网站的信任，将CSS恶意代码挂到博客或者其他支持CSS的网页中，当网民在访问该网页时恶意代码就会执行。这就如同你去一家知名且证照齐全的大医院看病，你非常信任医院，但是你所看的门诊却已经被庸医外包了下来，并且打着医院的名义利用你的信任成功欺骗了你。但是当你事后去找人算账时，医院此时也往往一脸无辜。

　　据瑞星“云安全”监测系统显示，每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站，其中包括门户网站、娱乐网站、市场经济形势网站、网络论坛、游戏网站等（如下图），用户访问这些网站就会中毒。显而易见，越来越多的恶意攻击源自利用CSS挂马的合法网站。