曾幾何時(shí)，人們開始意識(shí)到并非互聯(lián)網(wǎng)上所有的網(wǎng)站都是可以訪問的，有一些所謂的惡意網(wǎng)站，訪問后輕則中毒，數(shù)據(jù)遭破壞，重則網(wǎng)銀被盜，損失錢財(cái)，甚至系統(tǒng)崩潰。網(wǎng)友們也開始關(guān)注網(wǎng)站掛馬等資訊，避免成為惡意網(wǎng)站的受害者。但是，這些惡意網(wǎng)站究竟從何而來，其幕后黑手是誰?其攻擊方式和發(fā)展趨勢又是什么?網(wǎng)民應(yīng)該如何防范這類網(wǎng)絡(luò)威脅呢?

在國際著名信息安全廠商卡巴斯基實(shí)驗(yàn)室最近發(fā)表的一篇題為《解析惡意網(wǎng)站》的文章中，對(duì)上述疑問一一進(jìn)行了解答。

越來越多的惡意程序開始利用網(wǎng)站進(jìn)行傳播，而不像幾年前主要通過電子郵件傳播。而被惡意程序感染的網(wǎng)站就是我們常說的惡意網(wǎng)站。造成這一現(xiàn)象的主要原因是犯罪意圖的升級(jí)。通過網(wǎng)站從事網(wǎng)絡(luò)犯罪相對(duì)容易，因?yàn)榫W(wǎng)上有很多教人如何進(jìn)行網(wǎng)絡(luò)攻擊的教程和資源。由于缺乏有效的跨國界執(zhí)法力量，使得從事網(wǎng)絡(luò)犯罪所面臨的風(fēng)險(xiǎn)相對(duì)很低。網(wǎng)絡(luò)犯罪的猖獗也造就了很多新的網(wǎng)絡(luò)犯罪趨勢，例如使用惡意網(wǎng)站傳播惡意程序以及使用惡意程序針對(duì)零日漏洞進(jìn)行攻擊。此外，惡意網(wǎng)站上專門用于竊取機(jī)密數(shù)據(jù)的惡意程序數(shù)量明顯上升，被盜的機(jī)密數(shù)據(jù)通過銷售可以換來可觀的收益。這也是驅(qū)使網(wǎng)絡(luò)罪犯不斷推廣惡意網(wǎng)站的最大動(dòng)機(jī)。

從三年前開始，卡巴斯基實(shí)驗(yàn)室就一直對(duì)100,000～300,000個(gè)網(wǎng)站進(jìn)行監(jiān)控，試圖追蹤這些網(wǎng)站何時(shí)被感染，并且成為傳播惡意程序的基點(diǎn)。根據(jù)監(jiān)控?cái)?shù)據(jù)，2006年，大約每兩萬個(gè)網(wǎng)站中有一個(gè)被感染。而到2009年，大約每150個(gè)網(wǎng)站中就會(huì)有一個(gè)被感染，可見其增長幅度非同尋常。

通過研究分析，發(fā)現(xiàn)惡意程序感染網(wǎng)站有三種主要途徑和手段：

★利用被攻擊網(wǎng)站的漏洞進(jìn)行入侵和感染(例如使用sQL注入)

★利用惡意程序先感染網(wǎng)頁編寫和開發(fā)人員的計(jì)算機(jī)，這樣生成和被上傳到網(wǎng)站的HTML文件中就會(huì)被注入惡意代碼

★利用惡意程序感染網(wǎng)頁開發(fā)人員或者網(wǎng)絡(luò)管理員的計(jì)算機(jī)，從而竊取訪問網(wǎng)站主機(jī)的賬戶密碼等詳細(xì)信息

以往，網(wǎng)絡(luò)罪犯為了推廣惡意網(wǎng)站，經(jīng)常使用不限上傳內(nèi)容的網(wǎng)站主機(jī)服務(wù)或利用竊取到的信用卡購買網(wǎng)站主機(jī)服務(wù)。但近幾年，有趨勢表明網(wǎng)絡(luò)罪犯逐漸開始通過一些原本干凈并且信譽(yù)良好的域名傳播惡意程序。對(duì)于網(wǎng)站，管理員，卡巴斯基也給出了一些安全建議，避免網(wǎng)站被感染：

★網(wǎng)站賬戶要使用強(qiáng)度高的密碼

★使用SCP／SSH／sFTP代替FTP上傳文件，這樣可以防止密碼通過互聯(lián)網(wǎng)以明文形式傳送

★安裝和運(yùn)行安全解決方案

★對(duì)網(wǎng)站數(shù)據(jù)多做幾個(gè)不同的備份，一旦網(wǎng)站被感染，俄可以通過備份快速恢復(fù)

而普通網(wǎng)民要做到不被惡意網(wǎng)站侵害，除了要養(yǎng)成良好的上網(wǎng)習(xí)慣外，還建議及時(shí)更新系統(tǒng)和軟件漏洞補(bǔ)丁，并且安裝安全解決方案(例如卡巴斯基全功能安全軟件2010)，從而得到全方位多層次的安全保護(hù)。

惡意網(wǎng)站是互聯(lián)網(wǎng)發(fā)展到一定程度的必然產(chǎn)物，這種網(wǎng)絡(luò)犯罪形式不是第一個(gè)，也絕對(duì)不會(huì)是最后一個(gè)。所以安全防護(hù)技術(shù)也必須與時(shí)俱進(jìn)，及時(shí)調(diào)整更新戰(zhàn)略，針對(duì)惡意攻擊的最新趨勢，采取更有效的防護(hù)手段，以免遭到惡意攻擊。

警惕蠕蟲W32.Gosys盜密

病毒名稱：W32.Gosys

病毒類型：蠕蟲

受影響的操作系統(tǒng)：Windows 95／98，2000／Me／XP／Vista／NT，Windows Server 2003

近期賽門鐵克安全響應(yīng)中心發(fā)現(xiàn)一種名為W32.Gosys的蠕蟲，它會(huì)從被感染的計(jì)算機(jī)上竊取用戶機(jī)密信息并將其發(fā)送到指定郵件地址。

首先，該蠕蟲會(huì)從指定網(wǎng)址遠(yuǎn)程下載被加密的配置文件，隨后將自身備份到多個(gè)系統(tǒng)目錄使其難以被安全軟件完全清除，并且修改注冊(cè)表項(xiàng)達(dá)到自啟動(dòng)的目的。運(yùn)行時(shí)，W32.Gosys會(huì)監(jiān)控Internet Explorer及MoziIIa Firefox進(jìn)程中包含某些特定字符串的窗口，竊聽用戶擊鍵記錄，竊取用戶機(jī)密信息。然后。該蠕蟲會(huì)將竊取到的信息發(fā)送到指定的電子郵件地址。

蠕蟲W32.Gosys通過網(wǎng)絡(luò)共享及USB移動(dòng)存儲(chǔ)設(shè)備傳播。它會(huì)修改注冊(cè)表項(xiàng)來自動(dòng)啟用USB移動(dòng)存儲(chǔ)設(shè)備并關(guān)閉其寫保護(hù)，以便將自身拷貝到USB移動(dòng)存儲(chǔ)設(shè)備中進(jìn)行傳播。

安全專家建議：

1.全新2010版諾頓安全軟件獨(dú)創(chuàng)的基于信譽(yù)評(píng)級(jí)的全球智能云防護(hù)，使用賽門鐵克的全球安全智能網(wǎng)絡(luò)。實(shí)時(shí)對(duì)來自互聯(lián)網(wǎng)的應(yīng)用程序進(jìn)行判斷，協(xié)助用戶抵御最新威脅。

2.諾頓安全軟件獨(dú)有的“身份防護(hù)”功能，協(xié)助用戶自動(dòng)登錄網(wǎng)站和填寫表單，以防止竊聽擊鍵記錄程序竊取您的信息。

3.在使用移動(dòng)存儲(chǔ)介質(zhì)時(shí)，先使用安全防護(hù)軟件掃描。確認(rèn)安全后再打開；使用后，最好斷開計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備的物理連接。如非必要，盡量不要使用計(jì)算機(jī)的網(wǎng)絡(luò)共享功能。

4.沒有安裝安全軟件的用戶可以訪問http://www.symantec.com.cn／trialware下載諾頓360 3.0試用版對(duì)病毒進(jìn)行查殺。

5.使用諾頓2006版本及之后產(chǎn)品的現(xiàn)有用戶，可以免費(fèi)將產(chǎn)品升級(jí)至諾頓2010版本，升級(jí)網(wǎng)址http://www.symantec.com.cn／huc。

安全警報(bào)：Gooqle閱讀器遭攻擊

11月10日，趨勢科技TrendLabs發(fā)現(xiàn)針對(duì)Gooqle閱讀器(Gooqle Reader)所展開的一輪惡意攻擊，黑客在社交網(wǎng)站上大量張貼內(nèi)含有惡意程序Koobface的Gooqle閱讀器URL，以引誘網(wǎng)友點(diǎn)擊開啟，一旦開啟即會(huì)被植入一個(gè)名為Koobface的惡意程序，受感染計(jì)算機(jī)將成為Koobface僵尸網(wǎng)絡(luò)的一員。

“Google閱讀器”是Google所提供的一項(xiàng)免費(fèi)服務(wù)，目的是要讓使用者隨時(shí)掌握并分享網(wǎng)絡(luò)上的最新內(nèi)容。網(wǎng)絡(luò)犯罪者就是濫用這項(xiàng)分享功能來散播惡意的垃圾連結(jié)。

此次攻擊主要是Koobface犯罪集團(tuán)先取得一個(gè)Gooqle賬號(hào)。接著，再制作一個(gè)含有假YouTube視頻的網(wǎng)頁在網(wǎng)絡(luò)上大量散播，當(dāng)受害者點(diǎn)擊假的YouTube視頻鏈接，就會(huì)被重導(dǎo)至一個(gè)遭到入侵的網(wǎng)站，含有另一個(gè)假的YouTube視頻。這個(gè)被入侵的網(wǎng)站會(huì)感染使用者計(jì)算機(jī)，讓受害者變成Koobface僵尸網(wǎng)絡(luò)(Kooface Bot)的一份子。

當(dāng)網(wǎng)友點(diǎn)選這個(gè)視頻，就會(huì)被重新導(dǎo)向至一個(gè)Koobface慣用的假Facebook網(wǎng)頁或假YouTube網(wǎng)頁，里面暗藏Koobface下載程序組件。

截至發(fā)稿前，已知大約有1,300個(gè)非重復(fù)的假Gooqle閱讀器賬戶遭到Koobface濫用，在社交網(wǎng)站上散發(fā)垃圾網(wǎng)址。趨勢科技資深技術(shù)顧問張志徐表示：“這是網(wǎng)絡(luò)犯罪者再一次為了牟利而濫用原本充滿樂趣的社交工具，網(wǎng)友在收到來自以企業(yè)名義所發(fā)送的信件而欲開啟時(shí)，建議先開啟防毒軟件中的網(wǎng)頁過濾功能來替計(jì)算機(jī)安全把關(guān)?！?/p>

趨勢科技提供的云安全解決方案所包含的Web信譽(yù)技術(shù)(WRT)可以攔截惡意鏈接，有效且完整抵御零時(shí)差的Web攻擊。同時(shí)該工具還提供及僵尸程序監(jiān)測功能。趨勢科技現(xiàn)有的用戶在使用officeScan、lWSA、TIS、WorryFree這些產(chǎn)品時(shí)，可以開啟這個(gè)功能進(jìn)行防御。

另外，任何擔(dān)心自己可能遭到感染的使用者?？衫泌厔菘萍妓峁┑拿赓M(fèi)預(yù)防工具上網(wǎng)無憂電子眼(WTP)http://crl,trendmicro.com／cn／sp／smb，wpao／來預(yù)防進(jìn)一步的感染。