正在阅读：2008上半年网络安全报告·网页木马凶猛泛滥2008上半年网络安全报告·网页木马凶猛泛滥

　　报告关键字：

　　ActiveX控件

　　ActiveX是Microsoft提出的一组使用COM(Component Object Model，部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术，ActiveX 被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。

　　第三方应用程序

　　第三方应用程序主要是指运行在操作系统上，方便用户进行文档处理、浏览下载、影音播放等日常操作的非操作系统运行必需软件。

　　网马及其利用的第三方应用程序漏洞

　　攻击者构造一个恶意网页，在这个网页中加载带有漏洞的ActiveX控件。通过向这个ActiveX控件提供的函数提交恶意构造的参数，致使ActiveX控件溢出，从而下载并执行恶意参数中指向的恶意程序。这个网页就称做"网马"。

　　网页加密

　　通过对网页源代码进行某种变换（将字符转换为相对应的ASCII码、将字符以某种函数映射为其他字符等），使其不能被直接识别为逻辑语句的方法，叫做网页加密。对整个网页或部份网页代码进行加密，主要是为了防止作者的代码被盗用。然而现今各种网页加密技术则主要是用来对"网马"代码进行"保护"。因为经过加密的"网马"代码已经"面目全非"，这样就可以使"网马"不被一些通过特征码进行匹配的杀毒软件或安全工具所查杀。

　　网马生成器

　　网马生成器是一种生成网页木马的程序。它会针对相应的漏洞自动生成相应的网页木马，使用者不须要知道漏洞形成的原理、漏洞利用的代码、网页加密技术等相关知识。

　　只要运行网马生成器，选择其需要的功能前的复选框并输入要执行的恶意程序的链接，然后点击"生成"按钮，若干网页木马就会生成在指定的目录中。

　　畅游巡警

　　"畅游巡警"是数据安全实验室（DSWLab）2008年出品一款优秀的免费产品，其设计融入了国际一流的网页病毒查杀技术，拥有功能强大、高效准确的恶意网站识别与报警能力。其具备成熟的未知智能防御系统，对于未收录进数据库的网页病毒进行动态分析、实时阻止及清除。有效避免网页病毒、恶意网页、恶意下载、钓鱼网站等威胁，帮助用户安全、高效使用互联网资源。点击下载畅游巡警

　　相关文章推荐《江民：2008年上半年十大病毒档案》 《金山毒霸：上半年病毒疫情及安全报告》

　　一、2008年上半年网页木马整体分析

　　2008年网页木马急骤增长，专业化、团队式的木马制造者，在攫取巨额非法利益的同时，给广大网友的正常工作学习带来了很大的不便、使网友们的利益受到了极大的损失。巨额利润、第三方应用程序漏洞、社会工程学成为2008年上半年的网马增长的主要条件。很多流行病毒（如：机器狗、磁碟机、游戏盗号病毒）除了利用程序自身的传播机制进行传播外，也都会利用各种网马来扩大其破坏范围。

图1　网马增长曲线图

　　（上图为超级巡警连续九周的抽样调查统计图，其中：蓝线为网马的实际增长曲线、黑线为网马的增长趋势曲线）

　　从图中可以看出，短短十周的时间内国内网络上的网页木马竟达到了10多倍的增长。由于一个网页木马对应着成百上千的，甚至是数以万计的计算机网络用户，所以通过网页木马被感染的计算机是放射性增长的。超级巡警团队监控数据显示，在抽样调查所统计的时间内，被感染的网页数量达到1449034，几乎是平均每个网民每天至少会浏览到一个恶意链接。被感染的网页增长走势如下图：

图2　被感染网页增长曲线图

　　网页木马作为打开网络上计算机的"弹头"，它会通过各种系统漏洞或应用程序漏洞，率先获取网络终端计算机的某种权限。通过已经获得的权限，去指定的服务器下载回来"有效载荷"。而这些"有效载荷"就是数十个盗取各种游戏软件、即时通讯软件、邮箱等密码或敏感信息的木马。

　　2008年上半年中国各个地区的网马都呈增加态势，一个原因是由于网络接入发展非常快。另一个原因是，同一年前相比，国内外的搜索引擎越来越多地把重点放在国内的服务器上。网马分布的主要地区如下图所示：

图3　网马分布图

　　（"其他"中包括除图中所列主要地区外的其他地区，主要指除中国以外的亚太地址和欧美地区）

　　如上图所示，在超级巡警团队统计的2008上半年十大恶意域名列表中，就有80%的恶意域名的IP地址是指向浙江省的。列表如下：

表1　十大恶意域名列表

　　二、2008年上半年网页木马利用的十大漏洞分析

　　网页木马所利用的漏洞程序涵盖计算机软件的各个方面，包括系统程序、下载软件、播放软件、阅读软件、网络电视软件、游戏平台软件等。

图4　网马利用应用程序漏洞分布图

　　从上图中可以看出，利用最多的漏洞是播放软件RealPlay的漏洞，该程序众多的使用者使利用Realplay的网马成为"网马排行榜"的第一名。

　　Flash紧随其后，由于利用flash漏洞的网马出现的时间晚于realplay，所以在总的数量上少于它。但是网络上flash使用的相当广泛、widows系统内部自带的flash插件版本就存在漏洞，而flash插件升级到无漏洞版本的步骤相对繁琐。一段时间后，利用flash漏洞的网马数量一定会赶超利用realplay漏洞的网马。在超级巡警团队发出预警资讯后的20多天后，　国内利用flash漏洞的网马才渐渐增多，如下图：

图5　Flash漏洞上报图

　　网络电视软件UUSee在刚出现短短几周的时间已经超过了MS06014。以此可见，网马的时效性也很强，尤其是一些0day网马，会在漏洞修补前被广泛利用。超级巡警团队在6月18日捕获利用UUSee 0day漏洞的网马，在通知了软件厂商后，立即发布了预警资讯.6月19日，该类网马的上报量在一天时间内竟达到近5万条，如下图：

图6　UUsee漏洞上报曲线图

　　超级巡警捕获的另一个0day--联众0day在巡警发布预警资讯的若干天后，其每日上报数逐渐达到了数万之多。0day的"杀伤力"可见一斑。

图7　联众漏洞上报曲线图

　　MS06014虽然是相对古老的一个漏洞，但是由于现在很多网马传播者，是利用"网马生成器"生成一系列经过处理的网马，它作为一个附带品，可能被成功利用的概率相对小了一些，它使用的仍然很广泛。

　　还有一些应用程序漏洞由于程序的升级已经修补了漏洞或其他原因导致使用者减少（如：暴风影音,PPStream,百度搜霸,超星阅览器），利用它们的网马也随之减少，逐渐淡出被网马利用的行列。

　　小提示：

　　及时更新安装Windows系统补丁，并尽可能使用应用程序的最新版本。不仅可以相对的提升系统的整体性能，更是保障系统安全的重要环节。

　　三、2008年上半年网页木马主要特点分析

　　1、网页木马更倾向于利用第三方应用程序漏洞。

　　从统计的数据来看，目前网页木马利用的主要漏洞已经从操作系统相关漏洞转向比较流行的应用程序相关漏洞。相对于操作系统软件，一些流行的应用软件在逻辑编码与安全测试方面可能会稍逊一筹。所以在漏洞产生的频率与可能性上，应用软件相对来说会有更大的空间。

　　另一方面，操作系统的升级时间会相对固定，安全意识日益提高的用户也会更重视系统漏洞。而每次上网时先要去检测一下众多应用程序是否需要升级，的确是一件很烦琐的事情，很多用户对应用程序的升级也不是十分重视。当软件自动更新程序提示有新版本程序时，一些用户会选择不升级到最新版本，很多用户很可能已经取消了程序的自动升级。有某些少数的软件公司竟然对程序存在的漏洞不进行修正，无视安全公司的漏洞分析及善意提示，不顾及用户的利益是否会遭受损失。

　　以上这些原因都导致了利用应用程序漏洞的网页木马的疯狂增长，超级巡警首创第三方漏洞检测和修复功能，保护了大量的用户，有效的遏制了常见利用第三方漏洞的木马传播。

　　2、网页木马集团化作业，分工明确。

　　网页木马的增长一方面是因为可利用的漏洞频频出现，另一方面则是因为在巨额利润驱使下的制作者群体的快速增长。从0day漏洞到网马生成器，从可控"肉机"到webshell，在木马产业的每一个环节都有利益可图，这种"高收入、低风险"使得更多的人，尤其是青年人趋之若骛。

　　超级巡警团队根据监控的数据进行了抽样调查，结果表明25%以上的网马中含有关键字"cuteqq"。经调查得知，含有关键字"cuteqq"的网马都是由名为"暗黑工作组"的网站所出售的网马生成器生成的。另外像中华吸血鬼马等生成器家族也越来越多，这类半地下半公开或者全公开叫嚣对抗安全产品的生成器今年数量急剧增多，由于其不需要使用者有较高的计算机水平广受欢迎，成为了一大公害。下图即为暗黑生成器的截图：

图8　网马生成器

　　今年黑色产业链发展比去年更为势头猛烈，流水化作业，分工明确，目前网马工作流程如下图：

图9　网马流程图

　　3、网页木马紧跟时事，"与时俱进"。

　　网马制作者为了使网页木马为了被更广泛的传播，会通过各种热门话题进行传播。从年初的"艳照门"、雪灾到5用份的地震，只要是受到关注的新闻，网马制作者几乎都会利用这些热点去传播网马。

　　图10为超级巡警团队捕获的带有恶意网马链接的关于地震灾区的网页。超级巡警团队的统计数据表明，在一些节日（如情人节、母亲节）同样会监控到大量伪装为鲜花网站、祝福网站的链接恶意网马的网页。利用社会工程学传播的网马可以说是无处不在。

图10　链接网马的新闻网页

　　我们在利用技术手段维护计算机系统与网络的安全的同时，更要强烈谴责那些利欲熏心、丧失良知的人。

　　结束语：

　　互联网上有调查称40%到50%恶意网站由中国ISP托管。而计算机恶意程序每年造成的全球经济损失都高达数百亿美元。如何有效的解决互联网安全相关问题，是我们需要面对的严峻的考验。虽然网络安全产品层出不穷，其中也有很多优秀的产品。然而，中国互联网安全产业相关的部门、企业依旧任重而道远。

　　附1：网页木马利用的十大漏洞相关描述表

　　1、Adobe Flash Player SWF文件DeclareFunction2 ActionScript标签堆溢出漏洞 点击下载更新程序

　　描述：

　　Flash player在试图访问没有正确实例化的嵌入Actionscript对象时存在堆溢出漏洞，如果攻击者恶意修改了SWF文件中的DeclareFunction2 Actionscript标签的话，则用户打开该文件就可能触发堆溢出，导致以当前登录用户的权限执行任意指令。

　　2、RealNetworks RealPlayer rmoc3260.dll ActiveX控件内存破坏漏洞 点击下载更新程序

　　描述：

　　RealPlayer的rmoc3260.dll ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞控制用户系统。rmoc3260.dll ActiveX控件没有正确地处理Console属性的输入参数，如果用户受骗访问了恶意站点的话，就可能触发内存破坏，导致执行任意指令。

　　3、Microsoft MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞

　　描述：

　　Windows的RDS.Dataspace ActiveX实现上存在漏洞，远程攻击者可能利用此漏洞在获取主机的控制。在某些情况下，MDAC所捆绑的RDS.Dataspace ActiveX控件无法确保能够进行安全的交互，导致远程代码执行漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统。

　　4、迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区溢出漏洞 点击下载更新程序

　　描述：

　　迅雷的PPLAYER.DLL_1_WORK ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。迅雷的PPLAYER.DLL_1_WORK ActiveX控件（pplayer.dll组件版本号1.2.3.49，CLSID：F3E70CEA-956E-49CC-B444-73AFE593AD7F）中的FlvPlayerUrl函数没有正确地验证用户提供参数，如果向其传递了超长参数就会触发缓冲区溢出，导致执行任意指令。目前这个漏洞正在被积极的利用。病毒作者可利用该漏洞编写恶意网页，当用户浏览这些网页的时候，就会感染病毒，该病毒可以盗窃用户的帐号和密码，从而使用户遭受到损失。

　　5、联众世界GLIEDown2.dll Active控件多个缓冲区溢出漏洞 点击下载更新程序

　　描述：

　　联众世界的游戏大厅主程序GLWorld所安装的GLIEDown2.dll ActiveX控件（CLSID：F917534D-535B-416B-8E8F-0C04756C31A8）没有正确地处理对IEStart()、IEStartNative()方式以及ServerList、GameInfo和GruopName属性的输入参数。如果用户受骗访问了恶意网页并向这些方式传送了特制参数的话，就可能触发堆溢出或栈溢出，导致在用户系统上执行任意指令。

　　6、暴风影音MPS.DLL ActiveX控件多个远程溢出漏洞 点击下载更新程序

　　描述：

　　如果向MPS.StormPlayer.1 ActiveX控件（mps.dll）中的rawParse()和advancedOpen()方式和URL属性发送了超过260字节的超长属性的话，或诱骗用户打开的.SMPL文件包含有超过260字节的超长path字符串的话，就可以触发栈溢出；此外如果向MPS.StormPlayer.1 ActiveX控件的isDVDPath()方式和backImage()、titleImage()属性发送了超过260字节的超长参数的话，就可以分别触发栈溢出和堆溢出，导致执行任意指令。

　　7、UUSee网络电视2008 UUUpgrade ActiveX控件Update方式任意文件下载漏洞 点击下载更新程序

　　描述：

　　UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件，其中一个控件用于升级UUSee。该控件clssid为：{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}，对应dll：C:\PROGRA~1\COMMON~1\uusee\UUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证，导致恶意攻击者可以通过构造伪造的升级文件导致UUSee网络电视下载攻击者指定的文件并运行。

　　8、PpStream Power Player.dll ActiveX控件远程代码执行漏洞 点击下载更新程序

　　描述：

　　PPStream 所带的ActiveX(PowerPlayer.dll)控件存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

　　9、百度超级搜霸BaiduBar.dll ActiveX控件远程代码执行漏洞

　　描述：

　　百度超级搜霸所带的ActiveX控件实现上存在输入验证漏洞，远程攻击者可能利用此漏洞诱使用户下载执行恶意代码。百度超级搜霸所安装的BaiduBar.dll控件没有正确地验证用户输入，如果用户受骗访问了恶意网页的话就可能导致以使用该控件的应用程序（通常为IE）的安全环境执行任意代码。

　　10、超星阅览器Pdg2 ActiveX控件栈溢出漏洞 点击下载更新程序

　　描述：

　　超星阅览器的Pdg2 ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。超星阅览器的Pdg2 ActiveX控件（pdg2.dll）没有正确地处理对Register()方式所传送的参数，如果用户受骗访问了恶意网页并向该方式传送了超过256字节的超长参数的话，就可以触发栈溢出，导致执行任意代码。

　　声明：该报告中提及的数据以超级巡警团队、数据安全实验室(DSWLAB)等相关部门汇总数据为依据。该报告仅针对中国大陆地区2008年上半年网页木马的相关信息、技术细节、发展趋势进行统计、研究和分析。所有结论和所持观点均由本公司独家发布，与其它公司、部门无关。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行判别，本公司不承担与此相关的一切法律责任。