四、2009年上半年度掛馬網(wǎng)站案例分析

　　1、酷狗被黑客惡意掛馬

　　2009年2月25日，瑞星”云安全“監(jiān)測(cè)數(shù)據(jù)表明，酷狗被掛馬，當(dāng)天截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為337519，第二天2月26日為480800，那一次掛馬的”壽命“長(zhǎng)達(dá)兩天，直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進(jìn)程訪問掛馬網(wǎng)站數(shù)據(jù)量暴增，為724381，達(dá)到平時(shí)訪問量的30倍之多，那次掛馬持續(xù)了一天，3月15日被清除恢復(fù)正常，當(dāng)天顯示數(shù)量下降至18964。

　　以3月14日為例，最早在3月14日凌晨4點(diǎn)19分酷狗論壇上就有用戶反饋酷狗被掛馬，直至當(dāng)天中午11點(diǎn)47分仍有類似的帖子出現(xiàn)。惡意網(wǎng)木馬網(wǎng)站為的”壽命“越長(zhǎng)，傳播和受害面就越廣。尤其是沒有安裝網(wǎng)頁木馬攔截功能的軟件的這部分用戶，絲毫察覺不到自己的計(jì)算機(jī)已遭到攻擊、入侵。一旦木馬病毒下載后自動(dòng)運(yùn)行，信息安全就受到嚴(yán)重威脅。

　　截止到6月29日，”云安全“數(shù)據(jù)中心顯示，酷狗網(wǎng)站在5月7日和6月9日仍有小范圍的被掛馬行為。（5月7日截獲到KuGoo.exe訪問掛馬網(wǎng)站的數(shù)量為27379，6月9日為9552）

圖18 KuGoo.exe上報(bào)量走勢(shì)圖

圖19  KuGoo.exe上報(bào)量走勢(shì)

　　2、“極品時(shí)刻表”被黑客惡意掛馬

　　2009年3月9日，瑞星”云安全“系統(tǒng)提供的數(shù)據(jù)表明，網(wǎng)民中流行的”極品時(shí)刻表“軟件被黑客掛馬，截至當(dāng)天19時(shí)為止，瑞星已攔截到66757人次網(wǎng)民遭到攻擊。極品時(shí)刻表內(nèi)嵌的網(wǎng)頁被黑客植入木馬，當(dāng)用戶使用該軟件查詢列車車次時(shí)，就會(huì)遭到攻擊。

圖20 點(diǎn)擊”查詢“按鈕之后，該軟件自動(dòng)打開的內(nèi)嵌廣告頁帶毒

　　被植入木馬的網(wǎng)頁為極品時(shí)刻表內(nèi)嵌的廣告網(wǎng)頁，用戶在使用”查詢“功能之后，該軟件會(huì)自動(dòng)打開那個(gè)被掛馬的網(wǎng)頁。該網(wǎng)頁中使用了多個(gè)常用軟件的流行漏洞，如果用戶沒有做好相應(yīng)的防護(hù)，很容易中毒。

　　據(jù)了解，極品時(shí)刻表被植入的木馬地址為http://***.6t65r.cn/，該惡意網(wǎng)木馬網(wǎng)站量在那幾天上升極快，可能黑客還把該網(wǎng)頁植入了其它常用網(wǎng)站或軟件當(dāng)中。玩家一旦中毒，電腦會(huì)被下載病毒下載器、盜號(hào)木馬、蠕蟲等惡性病毒，從而帶來極大的安全風(fēng)險(xiǎn)。

　　3、博客房產(chǎn)網(wǎng)站被掛馬 導(dǎo)致大量用戶中毒

　　2009年4月，據(jù)瑞星”云安全“系統(tǒng)統(tǒng)計(jì)，本月瑞星共截獲了15432616個(gè)木馬網(wǎng)址，4月24-4.26日共有6,438,943人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊，瑞星共截獲了1,847,811個(gè)掛馬網(wǎng)址。僅4月24日當(dāng)天就有2,325,7762人次的網(wǎng)民遭到網(wǎng)頁掛馬攻擊，瑞星截獲了681,393個(gè)掛馬網(wǎng)址。其中博客、房地產(chǎn)、招聘、學(xué)校類網(wǎng)站被掛馬次數(shù)頻繁：

圖21

　　4、美女艷照引來網(wǎng)絡(luò)掛馬狂潮

　　2009年5月， ”海運(yùn)女艷照“成為網(wǎng)民關(guān)注的焦點(diǎn)，黑客利用此焦點(diǎn)事件傳毒的事件有增多的趨勢(shì)，據(jù)”云安全“中心數(shù)據(jù)顯示， 5月14日就有近百個(gè)相關(guān)帶毒論壇、網(wǎng)站被截獲，其中植入的木馬絕大部分會(huì)竊取網(wǎng)游賬號(hào)、下載其它惡意程序等。

圖22

　　據(jù)瑞星技術(shù)部門分析，黑客主要采用三種方式傳播病毒：建立帶毒網(wǎng)站，然后把網(wǎng)站地址通過QQ、論壇等方式轉(zhuǎn)貼，吸引用戶瀏覽，瀏覽后就會(huì)中毒；把艷照?qǐng)D片跟病毒打包在一起，在論壇發(fā)帖稱”我有最全艷照合集“，讓網(wǎng)民留下郵箱，然后把帶毒圖片包發(fā)到網(wǎng)民郵箱里，網(wǎng)民打開瀏覽時(shí)就會(huì)中毒，還有的直接把木馬病毒偽裝成圖片的模樣，用戶瀏覽時(shí)就會(huì)中毒。

　　目前，幾大搜索引擎的貼吧里，有關(guān)海運(yùn)女的帖子已經(jīng)有數(shù)萬個(gè)，其中絕大多數(shù)是讓網(wǎng)民留下郵箱，發(fā)送圖片包的。還有的黑客趁機(jī)在熱門帖子后面跟帖，留下帶毒網(wǎng)站的鏈接，誘騙網(wǎng)民上當(dāng)。