認清惡意網站,揭秘互聯網毒瘤

曾幾何時，人們開始意識到并非互聯網上所有的網站都是可以訪問的，有一些所謂的惡意網站，訪問后輕則中毒，數據遭破壞，重則網銀被盜，損失錢財，甚至系統崩潰。網友們也開始關注網站掛馬等資訊，避免成為惡意網站的受害者。但是，這些惡意網站究竟從何而來，其幕后黑手是誰?其攻擊方式和發展趨勢又是什么?網民應該如何防范這類網絡威脅呢?

在國際著名信息安全廠商卡巴斯基實驗室最近發表的一篇題為《解析惡意網站》的文章中，對上述疑問一一進行了解答。

越來越多的惡意程序開始利用網站進行傳播，而不像幾年前主要通過電子郵件傳播。而被惡意程序感染的網站就是我們常說的惡意網站。造成這一現象的主要原因是犯罪意圖的升級。通過網站從事網絡犯罪相對容易，因為網上有很多教人如何進行網絡攻擊的教程和資源。由于缺乏有效的跨國界執法力量，使得從事網絡犯罪所面臨的風險相對很低。網絡犯罪的猖獗也造就了很多新的網絡犯罪趨勢，例如使用惡意網站傳播惡意程序以及使用惡意程序針對零日漏洞進行攻擊。此外，惡意網站上專門用于竊取機密數據的惡意程序數量明顯上升，被盜的機密數據通過銷售可以換來可觀的收益。這也是驅使網絡罪犯不斷推廣惡意網站的最大動機。

從三年前開始，卡巴斯基實驗室就一直對100,000～300,000個網站進行監控，試圖追蹤這些網站何時被感染，并且成為傳播惡意程序的基點。根據監控數據，2006年，大約每兩萬個網站中有一個被感染。而到2009年，大約每150個網站中就會有一個被感染，可見其增長幅度非同尋常。

通過研究分析，發現惡意程序感染網站有三種主要途徑和手段：

★利用被攻擊網站的漏洞進行入侵和感染(例如使用sQL注入)

★利用惡意程序先感染網頁編寫和開發人員的計算機，這樣生成和被上傳到網站的HTML文件中就會被注入惡意代碼

★利用惡意程序感染網頁開發人員或者網絡管理員的計算機，從而竊取訪問網站主機的賬戶密碼等詳細信息

以往，網絡罪犯為了推廣惡意網站，經常使用不限上傳內容的網站主機服務或利用竊取到的信用卡購買網站主機服務。但近幾年，有趨勢表明網絡罪犯逐漸開始通過一些原本干凈并且信譽良好的域名傳播惡意程序。對于網站，管理員，卡巴斯基也給出了一些安全建議，避免網站被感染：

★網站賬戶要使用強度高的密碼

★使用SCP／SSH／sFTP代替FTP上傳文件，這樣可以防止密碼通過互聯網以明文形式傳送

★安裝和運行安全解決方案

★對網站數據多做幾個不同的備份，一旦網站被感染，俄可以通過備份快速恢復

而普通網民要做到不被惡意網站侵害，除了要養成良好的上網習慣外，還建議及時更新系統和軟件漏洞補丁，并且安裝安全解決方案(例如卡巴斯基全功能安全軟件2010)，從而得到全方位多層次的安全保護。

惡意網站是互聯網發展到一定程度的必然產物，這種網絡犯罪形式不是第一個，也絕對不會是最后一個。所以安全防護技術也必須與時俱進，及時調整更新戰略，針對惡意攻擊的最新趨勢，采取更有效的防護手段，以免遭到惡意攻擊。

警惕蠕蟲W32.Gosys盜密

病毒名稱：W32.Gosys

病毒類型：蠕蟲

受影響的操作系統：Windows 95／98，2000／Me／XP／Vista／NT，Windows Server 2003

近期賽門鐵克安全響應中心發現一種名為W32.Gosys的蠕蟲，它會從被感染的計算機上竊取用戶機密信息并將其發送到指定郵件地址。

首先，該蠕蟲會從指定網址遠程下載被加密的配置文件，隨后將自身備份到多個系統目錄使其難以被安全軟件完全清除，并且修改注冊表項達到自啟動的目的。運行時，W32.Gosys會監控Internet Explorer及MoziIIa Firefox進程中包含某些特定字符串的窗口，竊聽用戶擊鍵記錄，竊取用戶機密信息。然后。該蠕蟲會將竊取到的信息發送到指定的電子郵件地址。

蠕蟲W32.Gosys通過網絡共享及USB移動存儲設備傳播。它會修改注冊表項來自動啟用USB移動存儲設備并關閉其寫保護，以便將自身拷貝到USB移動存儲設備中進行傳播。

安全專家建議：

1.全新2010版諾頓安全軟件獨創的基于信譽評級的全球智能云防護，使用賽門鐵克的全球安全智能網絡。實時對來自互聯網的應用程序進行判斷，協助用戶抵御最新威脅。

2.諾頓安全軟件獨有的“身份防護”功能，協助用戶自動登錄網站和填寫表單，以防止竊聽擊鍵記錄程序竊取您的信息。

3.在使用移動存儲介質時，先使用安全防護軟件掃描。確認安全后再打開；使用后，最好斷開計算機與移動存儲設備的物理連接。如非必要，盡量不要使用計算機的網絡共享功能。

4.沒有安裝安全軟件的用戶可以訪問http://www.symantec.com.cn／trialware下載諾頓360 3.0試用版對病毒進行查殺。

5.使用諾頓2006版本及之后產品的現有用戶，可以免費將產品升級至諾頓2010版本，升級網址http://www.symantec.com.cn／huc。

安全警報：Gooqle閱讀器遭攻擊

11月10日，趨勢科技TrendLabs發現針對Gooqle閱讀器(Gooqle Reader)所展開的一輪惡意攻擊，黑客在社交網站上大量張貼內含有惡意程序Koobface的Gooqle閱讀器URL，以引誘網友點擊開啟，一旦開啟即會被植入一個名為Koobface的惡意程序，受感染計算機將成為Koobface僵尸網絡的一員。

“Google閱讀器”是Google所提供的一項免費服務，目的是要讓使用者隨時掌握并分享網絡上的最新內容。網絡犯罪者就是濫用這項分享功能來散播惡意的垃圾連結。

此次攻擊主要是Koobface犯罪集團先取得一個Gooqle賬號。接著，再制作一個含有假YouTube視頻的網頁在網絡上大量散播，當受害者點擊假的YouTube視頻鏈接，就會被重導至一個遭到入侵的網站，含有另一個假的YouTube視頻。這個被入侵的網站會感染使用者計算機，讓受害者變成Koobface僵尸網絡(Kooface Bot)的一份子。

當網友點選這個視頻，就會被重新導向至一個Koobface慣用的假Facebook網頁或假YouTube網頁，里面暗藏Koobface下載程序組件。

截至發稿前，已知大約有1,300個非重復的假Gooqle閱讀器賬戶遭到Koobface濫用，在社交網站上散發垃圾網址。趨勢科技資深技術顧問張志徐表示：“這是網絡犯罪者再一次為了牟利而濫用原本充滿樂趣的社交工具，網友在收到來自以企業名義所發送的信件而欲開啟時，建議先開啟防毒軟件中的網頁過濾功能來替計算機安全把關?！?/p>

趨勢科技提供的云安全解決方案所包含的Web信譽技術(WRT)可以攔截惡意鏈接，有效且完整抵御零時差的Web攻擊。同時該工具還提供及僵尸程序監測功能。趨勢科技現有的用戶在使用officeScan、lWSA、TIS、WorryFree這些產品時，可以開啟這個功能進行防御。

另外，任何擔心自己可能遭到感染的使用者?？衫泌厔菘萍妓峁┑拿赓M預防工具上網無憂電子眼(WTP)http://crl,trendmicro.com／cn／sp／smb，wpao／來預防進一步的感染。