正在阅读：2008上半年网络安全报告·网页木马凶猛泛滥2008上半年网络安全报告·网页木马凶猛泛滥

　　3、网页木马紧跟时事，"与时俱进"。

　　网马制作者为了使网页木马为了被更广泛的传播，会通过各种热门话题进行传播。从年初的"艳照门"、雪灾到5用份的地震，只要是受到关注的新闻，网马制作者几乎都会利用这些热点去传播网马。

　　图10为超级巡警团队捕获的带有恶意网马链接的关于地震灾区的网页。超级巡警团队的统计数据表明，在一些节日（如情人节、母亲节）同样会监控到大量伪装为鲜花网站、祝福网站的链接恶意网马的网页。利用社会工程学传播的网马可以说是无处不在。

图10　链接网马的新闻网页

　　我们在利用技术手段维护计算机系统与网络的安全的同时，更要强烈谴责那些利欲熏心、丧失良知的人。

　　结束语：

　　互联网上有调查称40%到50%恶意网站由中国ISP托管。而计算机恶意程序每年造成的全球经济损失都高达数百亿美元。如何有效的解决互联网安全相关问题，是我们需要面对的严峻的考验。虽然网络安全产品层出不穷，其中也有很多优秀的产品。然而，中国互联网安全产业相关的部门、企业依旧任重而道远。

　　附1：网页木马利用的十大漏洞相关描述表

　　1、Adobe Flash Player SWF文件DeclareFunction2 ActionScript标签堆溢出漏洞 点击下载更新程序

　　描述：

　　Flash player在试图访问没有正确实例化的嵌入Actionscript对象时存在堆溢出漏洞，如果攻击者恶意修改了SWF文件中的DeclareFunction2 Actionscript标签的话，则用户打开该文件就可能触发堆溢出，导致以当前登录用户的权限执行任意指令。

　　2、RealNetworks RealPlayer rmoc3260.dll ActiveX控件内存破坏漏洞 点击下载更新程序

　　描述：

　　RealPlayer的rmoc3260.dll ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞控制用户系统。rmoc3260.dll ActiveX控件没有正确地处理Console属性的输入参数，如果用户受骗访问了恶意站点的话，就可能触发内存破坏，导致执行任意指令。

　　3、Microsoft MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞

　　描述：

　　Windows的RDS.Dataspace ActiveX实现上存在漏洞，远程攻击者可能利用此漏洞在获取主机的控制。在某些情况下，MDAC所捆绑的RDS.Dataspace ActiveX控件无法确保能够进行安全的交互，导致远程代码执行漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统。

　　4、迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区溢出漏洞 点击下载更新程序

　　描述：

　　迅雷的PPLAYER.DLL_1_WORK ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。迅雷的PPLAYER.DLL_1_WORK ActiveX控件（pplayer.dll组件版本号1.2.3.49，CLSID：F3E70CEA-956E-49CC-B444-73AFE593AD7F）中的FlvPlayerUrl函数没有正确地验证用户提供参数，如果向其传递了超长参数就会触发缓冲区溢出，导致执行任意指令。目前这个漏洞正在被积极的利用。病毒作者可利用该漏洞编写恶意网页，当用户浏览这些网页的时候，就会感染病毒，该病毒可以盗窃用户的帐号和密码，从而使用户遭受到损失。

　　5、联众世界GLIEDown2.dll Active控件多个缓冲区溢出漏洞 点击下载更新程序

　　描述：

　　联众世界的游戏大厅主程序GLWorld所安装的GLIEDown2.dll ActiveX控件（CLSID：F917534D-535B-416B-8E8F-0C04756C31A8）没有正确地处理对IEStart()、IEStartNative()方式以及ServerList、GameInfo和GruopName属性的输入参数。如果用户受骗访问了恶意网页并向这些方式传送了特制参数的话，就可能触发堆溢出或栈溢出，导致在用户系统上执行任意指令。

　　6、暴风影音MPS.DLL ActiveX控件多个远程溢出漏洞 点击下载更新程序

　　描述：

　　如果向MPS.StormPlayer.1 ActiveX控件（mps.dll）中的rawParse()和advancedOpen()方式和URL属性发送了超过260字节的超长属性的话，或诱骗用户打开的.SMPL文件包含有超过260字节的超长path字符串的话，就可以触发栈溢出；此外如果向MPS.StormPlayer.1 ActiveX控件的isDVDPath()方式和backImage()、titleImage()属性发送了超过260字节的超长参数的话，就可以分别触发栈溢出和堆溢出，导致执行任意指令。

　　7、UUSee网络电视2008 UUUpgrade ActiveX控件Update方式任意文件下载漏洞 点击下载更新程序

　　描述：

　　UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件，其中一个控件用于升级UUSee。该控件clssid为：{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}，对应dll：C:\PROGRA~1\COMMON~1\uusee\UUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证，导致恶意攻击者可以通过构造伪造的升级文件导致UUSee网络电视下载攻击者指定的文件并运行。

　　8、PpStream Power Player.dll ActiveX控件远程代码执行漏洞 点击下载更新程序

　　描述：

　　PPStream 所带的ActiveX(PowerPlayer.dll)控件存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

　　9、百度超级搜霸BaiduBar.dll ActiveX控件远程代码执行漏洞

　　描述：

　　百度超级搜霸所带的ActiveX控件实现上存在输入验证漏洞，远程攻击者可能利用此漏洞诱使用户下载执行恶意代码。百度超级搜霸所安装的BaiduBar.dll控件没有正确地验证用户输入，如果用户受骗访问了恶意网页的话就可能导致以使用该控件的应用程序（通常为IE）的安全环境执行任意代码。

　　10、超星阅览器Pdg2 ActiveX控件栈溢出漏洞 点击下载更新程序

　　描述：

　　超星阅览器的Pdg2 ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。超星阅览器的Pdg2 ActiveX控件（pdg2.dll）没有正确地处理对Register()方式所传送的参数，如果用户受骗访问了恶意网页并向该方式传送了超过256字节的超长参数的话，就可以触发栈溢出，导致执行任意代码。

　　声明：该报告中提及的数据以超级巡警团队、数据安全实验室(DSWLAB)等相关部门汇总数据为依据。该报告仅针对中国大陆地区2008年上半年网页木马的相关信息、技术细节、发展趋势进行统计、研究和分析。所有结论和所持观点均由本公司独家发布，与其它公司、部门无关。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行判别，本公司不承担与此相关的一切法律责任。