曾幾何時，人們開始意識到并非互聯(lián)網(wǎng)上所有的網(wǎng)站都是可以訪問的，有一些所謂的惡意網(wǎng)站，訪問后輕則中毒，數(shù)據(jù)遭破壞，重則網(wǎng)銀被盜，損失錢財，甚至系統(tǒng)崩潰。網(wǎng)友們也開始關(guān)注網(wǎng)站掛馬等資訊，避免成為惡意網(wǎng)站的受害者。但是，這些惡意網(wǎng)站究竟從何而來，其幕后黑手是誰?其攻擊方式和發(fā)展趨勢又是什么?網(wǎng)民應(yīng)該如何防范這類網(wǎng)絡(luò)威脅呢?

在國際著名信息安全廠商卡巴斯基實驗室最近發(fā)表的一篇題為《解析惡意網(wǎng)站》的文章中，對上述疑問一一進(jìn)行了解答。

越來越多的惡意程序開始利用網(wǎng)站進(jìn)行傳播，而不像幾年前主要通過電子郵件傳播。而被惡意程序感染的網(wǎng)站就是我們常說的惡意網(wǎng)站。造成這一現(xiàn)象的主要原因是犯罪意圖的升級。通過網(wǎng)站從事網(wǎng)絡(luò)犯罪相對容易，因為網(wǎng)上有很多教人如何進(jìn)行網(wǎng)絡(luò)攻擊的教程和資源。由于缺乏有效的跨國界執(zhí)法力量，使得從事網(wǎng)絡(luò)犯罪所面臨的風(fēng)險相對很低。網(wǎng)絡(luò)犯罪的猖獗也造就了很多新的網(wǎng)絡(luò)犯罪趨勢，例如使用惡意網(wǎng)站傳播惡意程序以及使用惡意程序針對零日漏洞進(jìn)行攻擊。此外，惡意網(wǎng)站上專門用于竊取機密數(shù)據(jù)的惡意程序數(shù)量明顯上升，被盜的機密數(shù)據(jù)通過銷售可以換來可觀的收益。這也是驅(qū)使網(wǎng)絡(luò)罪犯不斷推廣惡意網(wǎng)站的最大動機。

從三年前開始，卡巴斯基實驗室就一直對100,000～300,000個網(wǎng)站進(jìn)行監(jiān)控，試圖追蹤這些網(wǎng)站何時被感染，并且成為傳播惡意程序的基點。根據(jù)監(jiān)控數(shù)據(jù)，2006年，大約每兩萬個網(wǎng)站中有一個被感染。而到2009年，大約每150個網(wǎng)站中就會有一個被感染，可見其增長幅度非同尋常。

通過研究分析，發(fā)現(xiàn)惡意程序感染網(wǎng)站有三種主要途徑和手段：

★利用被攻擊網(wǎng)站的漏洞進(jìn)行入侵和感染(例如使用sQL注入)

★利用惡意程序先感染網(wǎng)頁編寫和開發(fā)人員的計算機，這樣生成和被上傳到網(wǎng)站的HTML文件中就會被注入惡意代碼

★利用惡意程序感染網(wǎng)頁開發(fā)人員或者網(wǎng)絡(luò)管理員的計算機，從而竊取訪問網(wǎng)站主機的賬戶密碼等詳細(xì)信息

以往，網(wǎng)絡(luò)罪犯為了推廣惡意網(wǎng)站，經(jīng)常使用不限上傳內(nèi)容的網(wǎng)站主機服務(wù)或利用竊取到的信用卡購買網(wǎng)站主機服務(wù)。但近幾年，有趨勢表明網(wǎng)絡(luò)罪犯逐漸開始通過一些原本干凈并且信譽良好的域名傳播惡意程序。對于網(wǎng)站，管理員，卡巴斯基也給出了一些安全建議，避免網(wǎng)站被感染：

★網(wǎng)站賬戶要使用強度高的密碼

★使用SCP／SSH／sFTP代替FTP上傳文件，這樣可以防止密碼通過互聯(lián)網(wǎng)以明文形式傳送

★安裝和運行安全解決方案

★對網(wǎng)站數(shù)據(jù)多做幾個不同的備份，一旦網(wǎng)站被感染，俄可以通過備份快速恢復(fù)

而普通網(wǎng)民要做到不被惡意網(wǎng)站侵害，除了要養(yǎng)成良好的上網(wǎng)習(xí)慣外，還建議及時更新系統(tǒng)和軟件漏洞補丁，并且安裝安全解決方案(例如卡巴斯基全功能安全軟件2010)，從而得到全方位多層次的安全保護(hù)。

惡意網(wǎng)站是互聯(lián)網(wǎng)發(fā)展到一定程度的必然產(chǎn)物，這種網(wǎng)絡(luò)犯罪形式不是第一個，也絕對不會是最后一個。所以安全防護(hù)技術(shù)也必須與時俱進(jìn)，及時調(diào)整更新戰(zhàn)略，針對惡意攻擊的最新趨勢，采取更有效的防護(hù)手段，以免遭到惡意攻擊。

警惕蠕蟲W32.Gosys盜密

病毒名稱：W32.Gosys

病毒類型：蠕蟲

受影響的操作系統(tǒng)：Windows 95／98，2000／Me／XP／Vista／NT，Windows Server 2003

近期賽門鐵克安全響應(yīng)中心發(fā)現(xiàn)一種名為W32.Gosys的蠕蟲，它會從被感染的計算機上竊取用戶機密信息并將其發(fā)送到指定郵件地址。

首先，該蠕蟲會從指定網(wǎng)址遠(yuǎn)程下載被加密的配置文件，隨后將自身備份到多個系統(tǒng)目錄使其難以被安全軟件完全清除，并且修改注冊表項達(dá)到自啟動的目的。運行時，W32.Gosys會監(jiān)控Internet Explorer及MoziIIa Firefox進(jìn)程中包含某些特定字符串的窗口，竊聽用戶擊鍵記錄，竊取用戶機密信息。然后。該蠕蟲會將竊取到的信息發(fā)送到指定的電子郵件地址。

蠕蟲W32.Gosys通過網(wǎng)絡(luò)共享及USB移動存儲設(shè)備傳播。它會修改注冊表項來自動啟用USB移動存儲設(shè)備并關(guān)閉其寫保護(hù)，以便將自身拷貝到USB移動存儲設(shè)備中進(jìn)行傳播。

安全專家建議：

1.全新2010版諾頓安全軟件獨創(chuàng)的基于信譽評級的全球智能云防護(hù)，使用賽門鐵克的全球安全智能網(wǎng)絡(luò)。實時對來自互聯(lián)網(wǎng)的應(yīng)用程序進(jìn)行判斷，協(xié)助用戶抵御最新威脅。

2.諾頓安全軟件獨有的“身份防護(hù)”功能，協(xié)助用戶自動登錄網(wǎng)站和填寫表單，以防止竊聽擊鍵記錄程序竊取您的信息。

3.在使用移動存儲介質(zhì)時，先使用安全防護(hù)軟件掃描。確認(rèn)安全后再打開；使用后，最好斷開計算機與移動存儲設(shè)備的物理連接。如非必要，盡量不要使用計算機的網(wǎng)絡(luò)共享功能。

4.沒有安裝安全軟件的用戶可以訪問http://www.symantec.com.cn／trialware下載諾頓360 3.0試用版對病毒進(jìn)行查殺。

5.使用諾頓2006版本及之后產(chǎn)品的現(xiàn)有用戶，可以免費將產(chǎn)品升級至諾頓2010版本，升級網(wǎng)址http://www.symantec.com.cn／huc。

安全警報：Gooqle閱讀器遭攻擊

11月10日，趨勢科技TrendLabs發(fā)現(xiàn)針對Gooqle閱讀器(Gooqle Reader)所展開的一輪惡意攻擊，黑客在社交網(wǎng)站上大量張貼內(nèi)含有惡意程序Koobface的Gooqle閱讀器URL，以引誘網(wǎng)友點擊開啟，一旦開啟即會被植入一個名為Koobface的惡意程序，受感染計算機將成為Koobface僵尸網(wǎng)絡(luò)的一員。

“Google閱讀器”是Google所提供的一項免費服務(wù)，目的是要讓使用者隨時掌握并分享網(wǎng)絡(luò)上的最新內(nèi)容。網(wǎng)絡(luò)犯罪者就是濫用這項分享功能來散播惡意的垃圾連結(jié)。

此次攻擊主要是Koobface犯罪集團先取得一個Gooqle賬號。接著，再制作一個含有假YouTube視頻的網(wǎng)頁在網(wǎng)絡(luò)上大量散播，當(dāng)受害者點擊假的YouTube視頻鏈接，就會被重導(dǎo)至一個遭到入侵的網(wǎng)站，含有另一個假的YouTube視頻。這個被入侵的網(wǎng)站會感染使用者計算機，讓受害者變成Koobface僵尸網(wǎng)絡(luò)(Kooface Bot)的一份子。

當(dāng)網(wǎng)友點選這個視頻，就會被重新導(dǎo)向至一個Koobface慣用的假Facebook網(wǎng)頁或假YouTube網(wǎng)頁，里面暗藏Koobface下載程序組件。

截至發(fā)稿前，已知大約有1,300個非重復(fù)的假Gooqle閱讀器賬戶遭到Koobface濫用，在社交網(wǎng)站上散發(fā)垃圾網(wǎng)址。趨勢科技資深技術(shù)顧問張志徐表示：“這是網(wǎng)絡(luò)犯罪者再一次為了牟利而濫用原本充滿樂趣的社交工具，網(wǎng)友在收到來自以企業(yè)名義所發(fā)送的信件而欲開啟時，建議先開啟防毒軟件中的網(wǎng)頁過濾功能來替計算機安全把關(guān)。”

趨勢科技提供的云安全解決方案所包含的Web信譽技術(shù)(WRT)可以攔截惡意鏈接，有效且完整抵御零時差的Web攻擊。同時該工具還提供及僵尸程序監(jiān)測功能。趨勢科技現(xiàn)有的用戶在使用officeScan、lWSA、TIS、WorryFree這些產(chǎn)品時，可以開啟這個功能進(jìn)行防御。

另外，任何擔(dān)心自己可能遭到感染的使用者?？衫泌厔菘萍妓峁┑拿赓M預(yù)防工具上網(wǎng)無憂電子眼(WTP)http://crl,trendmicro.com／cn／sp／smb，wpao／來預(yù)防進(jìn)一步的感染。