认清恶意网站,揭秘互联网毒瘤
2009-12-31
曾几何时,人们开始意识到并非互联网上所有的网站都是可以访问的,有一些所谓的恶意网站,访问后轻则中毒,数据遭破坏,重则网银被盗,损失钱财,甚至系统崩溃。网友们也开始关注网站挂马等资讯,避免成为恶意网站的受害者。但是,这些恶意网站究竟从何而来,其幕后黑手是谁?其攻击方式和发展趋势又是什么?网民应该如何防范这类网络威胁呢?
在国际著名信息安全厂商卡巴斯基实验室最近发表的一篇题为《解析恶意网站》的文章中,对上述疑问一一进行了解答。
越来越多的恶意程序开始利用网站进行传播,而不像几年前主要通过电子邮件传播。而被恶意程序感染的网站就是我们常说的恶意网站。造成这一现象的主要原因是犯罪意图的升级。通过网站从事网络犯罪相对容易,因为网上有很多教人如何进行网络攻击的教程和资源。由于缺乏有效的跨国界执法力量,使得从事网络犯罪所面临的风险相对很低。网络犯罪的猖獗也造就了很多新的网络犯罪趋势,例如使用恶意网站传播恶意程序以及使用恶意程序针对零日漏洞进行攻击。此外,恶意网站上专门用于窃取机密数据的恶意程序数量明显上升,被盗的机密数据通过销售可以换来可观的收益。这也是驱使网络罪犯不断推广恶意网站的最大动机。
从三年前开始,卡巴斯基实验室就一直对100,000~300,000个网站进行监控,试图追踪这些网站何时被感染,并且成为传播恶意程序的基点。根据监控数据,2006年,大约每两万个网站中有一个被感染。而到2009年,大约每150个网站中就会有一个被感染,可见其增长幅度非同寻常。
通过研究分析,发现恶意程序感染网站有三种主要途径和手段:
★利用被攻击网站的漏洞进行入侵和感染(例如使用sQL注入)
★利用恶意程序先感染网页编写和开发人员的计算机,这样生成和被上传到网站的HTML文件中就会被注入恶意代码
★利用恶意程序感染网页开发人员或者网络管理员的计算机,从而窃取访问网站主机的账户密码等详细信息
以往,网络罪犯为了推广恶意网站,经常使用不限上传内容的网站主机服务或利用窃取到的信用卡购买网站主机服务。但近几年,有趋势表明网络罪犯逐渐开始通过一些原本干净并且信誉良好的域名传播恶意程序。对于网站,管理员,卡巴斯基也给出了一些安全建议,避免网站被感染:
★网站账户要使用强度高的密码
★使用SCP/SSH/sFTP代替FTP上传文件,这样可以防止密码通过互联网以明文形式传送
★安装和运行安全解决方案
★对网站数据多做几个不同的备份,一旦网站被感染,俄可以通过备份快速恢复
而普通网民要做到不被恶意网站侵害,除了要养成良好的上网习惯外,还建议及时更新系统和软件漏洞补丁,并且安装安全解决方案(例如卡巴斯基全功能安全软件2010),从而得到全方位多层次的安全保护。
恶意网站是互联网发展到一定程度的必然产物,这种网络犯罪形式不是第一个,也绝对不会是最后一个。所以安全防护技术也必须与时俱进,及时调整更新战略,针对恶意攻击的最新趋势,采取更有效的防护手段,以免遭到恶意攻击。
警惕蠕虫W32.Gosys盗密
病毒名称:W32.Gosys
病毒类型:蠕虫
受影响的操作系统:Windows 95/98,2000/Me/XP/Vista/NT,Windows Server 2003
近期赛门铁克安全响应中心发现一种名为W32.Gosys的蠕虫,它会从被感染的计算机上窃取用户机密信息并将其发送到指定邮件地址。
首先,该蠕虫会从指定网址远程下载被加密的配置文件,随后将自身备份到多个系统目录使其难以被安全软件完全清除,并且修改注册表项达到自启动的目的。运行时,W32.Gosys会监控Internet Explorer及MoziIIa Firefox进程中包含某些特定字符串的窗口,窃听用户击键记录,窃取用户机密信息。然后。该蠕虫会将窃取到的信息发送到指定的电子邮件地址。
蠕虫W32.Gosys通过网络共享及USB移动存储设备传播。它会修改注册表项来自动启用USB移动存储设备并关闭其写保护,以便将自身拷贝到USB移动存储设备中进行传播。
安全专家建议:
1.全新2010版诺顿安全软件独创的基于信誉评级的全球智能云防护,使用赛门铁克的全球安全智能网络。实时对来自互联网的应用程序进行判断,协助用户抵御最新威胁。
2.诺顿安全软件独有的“身份防护”功能,协助用户自动登录网站和填写表单,以防止窃听击键记录程序窃取您的信息。
3.在使用移动存储介质时,先使用安全防护软件扫描。确认安全后再打开;使用后,最好断开计算机与移动存储设备的物理连接。如非必要,尽量不要使用计算机的网络共享功能。
4.没有安装安全软件的用户可以访问http://www.symantec.com.cn/trialware下载诺顿360 3.0试用版对病毒进行查杀。
5.使用诺顿2006版本及之后产品的现有用户,可以免费将产品升级至诺顿2010版本,升级网址http://www.symantec.com.cn/huc。
安全警报:Gooqle阅读器遭攻击
11月10日,趋势科技TrendLabs发现针对Gooqle阅读器(Gooqle Reader)所展开的一轮恶意攻击,黑客在社交网站上大量张贴内含有恶意程序Koobface的Gooqle阅读器URL,以引诱网友点击开启,一旦开启即会被植入一个名为Koobface的恶意程序,受感染计算机将成为Koobface僵尸网络的一员。
“Google阅读器”是Google所提供的一项免费服务,目的是要让使用者随时掌握并分享网络上的最新内容。网络犯罪者就是滥用这项分享功能来散播恶意的垃圾连结。
此次攻击主要是Koobface犯罪集团先取得一个Gooqle账号。接着,再制作一个含有假YouTube视频的网页在网络上大量散播,当受害者点击假的YouTube视频链接,就会被重导至一个遭到入侵的网站,含有另一个假的YouTube视频。这个被入侵的网站会感染使用者计算机,让受害者变成Koobface僵尸网络(Kooface Bot)的一份子。
当网友点选这个视频,就会被重新导向至一个Koobface惯用的假Facebook网页或假YouTube网页,里面暗藏Koobface下载程序组件。
截至发稿前,已知大约有1,300个非重复的假Gooqle阅读器账户遭到Koobface滥用,在社交网站上散发垃圾网址。趋势科技资深技术顾问张志徐表示:“这是网络犯罪者再一次为了牟利而滥用原本充满乐趣的社交工具,网友在收到来自以企业名义所发送的信件而欲开启时,建议先开启防毒软件中的网页过滤功能来替计算机安全把关。”
趋势科技提供的云安全解决方案所包含的Web信誉技术(WRT)可以拦截恶意链接,有效且完整抵御零时差的Web攻击。同时该工具还提供及僵尸程序监测功能。趋势科技现有的用户在使用officeScan、lWSA、TIS、WorryFree这些产品时,可以开启这个功能进行防御。
另外,任何担心自己可能遭到感染的使用者。可利用趋势科技所提供的免费预防工具上网无忧电子眼(WTP)http://crl,trendmicro.com/cn/sp/smb,wpao/来预防进一步的感染。