【51CTO.com 綜合消息】根據瑞星“云安全”數據中心的統計數據，2009年1月至3月，瑞星“云安全”系統攔截到的掛馬網頁數累計達1億9千多萬個，共有8億人次網民遭木馬攻擊，平均每天有889萬余人次網民訪問掛馬網站；其中大型網站、流行軟件被掛馬的有24202個，比去年同期有大幅度增長，掛馬網站已經成為威脅國內互聯網安全的主要因素。

注：“木馬網站”是一種利用程序漏洞，在后臺偷偷下載木馬的網頁。這些網頁通常放在黑客自己管理的服務器上，當用戶訪問時，會把許多木馬下載到用戶機器中并運行。“掛馬網站”指的是被黑客植入惡意代碼的正規網站，這些被植入的惡意代碼，通常會直接指向“木馬網站”的網絡地址。“木馬地址”指的是木馬病毒真正的網絡下載地址。

由于黑客針對大型網站、流行軟件進行掛馬，使得單個木馬網站攻擊網民的數量有上升趨勢，據統計，第一季度排行前兩位的木馬網站攻擊網民數量都超過了86萬。由于現在黑客通常在每個掛馬網站上放多個木馬，這使得單個木馬的感染網民數很高，排行第一的木馬感染了144萬人次的網民。

從木馬網站域名類型的統計來看，CN域名是黑客掛馬最熱門的類型。第一季度，有85.5%的木馬網站使用CN域名，其后依次.com、.org、.net、.com.cn。

另外，瑞星“云安全”系統還統計了網民被掛馬網站攻擊成功時使用的軟件，主要是各種瀏覽器，以及內嵌了網頁的流行軟件。從統計數據可以看出，IE瀏覽器在該項統計中名列第1，騰訊TT、遨游、世界之窗、360瀏覽器分列2至5位。另外，還有其他應用程序進程，如KuGoo.exe等。

注：此統計反映的是木馬侵入成功之后的軟件進程，因此和使用者數量、瀏覽器的安全性密切相關。例如，如果網民訪問某掛馬網站，他安裝的瑞星全功能安全軟件2009、瑞星卡卡等產品會把網站中的木馬攔在電腦之外，使用戶的機器就不會被侵入，僅上報攔截結果，作為統計數據參考。

根據瑞星“云安全”系統的統計，北京、廣東、浙江是木馬網站數量最多的三個省，其中有34%的木馬網站服務器位于北京市。而廣東、北京、湖南是受網民受木馬影響最為嚴重的省，網民數量越多的省受影響越嚴重。

另外，瑞星“云安全”系統還統計了目前木馬的“壽命”（在互聯網上存在的時間）。根據統計數據，第一季度的十大木馬網站中，壽命最短的1天，最長的是5天。而且，其壽命長短與攻擊威力不成正比。比如710sese.cn網站，壽命僅僅為一天，其攻擊的網民數量就達到了224萬。

瑞星公司的統計研究表明，目前的互聯網非常脆弱，各種流行軟件、社交（SNS）網站、瀏覽器插件的漏洞層出不窮，為黑客提供了大量入侵和攻擊的機會。網頁取代網絡成為攻擊活動的主要渠道，“網頁掛馬”已經成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過“掛馬”方式傳播。ARP欺騙、IM工具自動發送病毒鏈接等傳播手段，往往也通過網頁掛馬最終侵入用戶電腦。

免責聲明：

本報告綜合瑞星“云安全”數據中心的統計，僅針對中國大陸地區2009年第一季度攔截的木馬網站數據進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構、廠商作為互聯網信息安全狀況的介紹和研究資料，請相關單位酌情使用，如若本報告闡述之狀況、數據與其它機構研究結果有差異，請使用方自行辨別，瑞星公司不承擔與此相關的一切法律責任。#p#

一、2009年第一季度掛馬網站疫情概要

瑞星“云安全”數據中心的統計表明，2009年第一季度截獲的掛馬網站（網頁數量）總數目為197676188個，平均每天截獲2196402個；掛馬網站攻擊總次數800412435次，平均每天遭遇攻擊次數達8893471；其中確定是大型網站被掛馬的“掛馬網站”總數為24202個，平均每天有268個大型網站被掛馬，2009-1-7當天攔截的“掛馬網站”高達1011個。 

圖

圖

圖

#p#

二、2009年第一季度掛馬網站數據統計

1、掛馬網站截獲量統計

瑞星“云安全”數據中心2009年1月至3月的監測數據，統計來自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動攔截的掛馬網站數量，截獲到的掛馬網站（以網頁個數統計）數目總計197676188個，攔截次數總計800412435次。

2、掛馬網站平均訪問人次的統計   

2009年1月1日至3月31日，瑞星“云安全”數據中心已攔截到800412435人次訪問掛馬網站，每天平均訪問人次達8893471次。也就是說，平均每天有889萬余人次網民訪問過惡意網頁。

3、木馬網站Top10排行   

圖

排行首位的木馬網站被攔截的次數867912次；第二名的木馬網站被攔截次數為86萬余次；第十名的攔截次數也達到61萬余次。

4、 木馬地址攔截量統計

“木馬地址”是指可以直接下載木馬病毒的URL網址，從瑞星“云安全”數據中心第一季度統計看，被攔截的木馬地址數目為398966個，去掉重復地址后的數目是10947個，攔截次數共20394247次。  

圖

5、木馬地址Top10排行（十大木馬排行） 

圖

排名第一的木馬地址被攔截次數達到144萬余次，前三位的木馬地址攔截次數均超過111萬次，第十名的木馬地址攔截次數也達到58萬次。#p#

6、木馬網站域名的類型統計  

瑞星“云安全”數據中心截獲的數據表明，2009年第一季度被攔截的木馬網站域名類型排行如下圖，排名第一是【.cn】，攔截量竟然高達151077922，前五名中排名緊隨其后的域名依次為【.com】、【.org】、【.net】、【.com.cn】。由此可見，這幾個域名都是黑客們最熱衷“光顧”的。 

圖

7、掛馬網站利用不安全軟件的次數統計

瑞星“云安全”數據中心還記錄了訪問掛馬網站的進程，以及利用不安全進程訪問的掛馬網站數量。從下圖可以看出，使用瀏覽器訪問掛馬網站的數量最多，IE名列第一，騰訊TT和遨游緊隨其后。另外，還有其他應用程序進程，如KuGoo.exe等。

注：非瀏覽器軟件被掛馬，往往是因為其中內嵌的IE網頁被植入木馬。例如酷狗、極品時刻表等。 

圖

8、惡意網站地區分布數量統計

2009年1月～3月惡意網站地區分布比例統計如下圖，本數據顯示惡意網站服務器實際存在的地理位置，以IP地址為準。通常情況下，多個木馬網站URL會存在于同一IP地址，因此該數據的量級會遠遠小于實際的木馬網站數量。

注：本圖數據包含了釣魚網站、詐騙網站、木馬網站的總體數據，因此稱為“惡意網站地區分布”。 

圖

9、各個地區受惡意網站影響度排行

在各省疫情方面，廣東省以8％的數量領先，北京、湖南、江蘇、山東等省市緊隨其后。從統計數據來看，各省網民受惡意網木馬網站幾乎沒有差距，上網計算機保有量是疫情地區差別最重要的原因。 

圖

#p#

三、掛馬網站案例分析

1、掛馬網站增長的因素

近幾年，基于掛馬的的惡意網站增長有很多因素，一是現有主流瀏覽器及其插件存在大量漏洞，二是應用軟件安全漏洞層出不窮，如：Realplay 播放器漏洞、聯眾世界漏洞、暴風影音漏洞等。同時，針對漏洞出現的攻擊程序、代碼也呈現出目的性強、時效性高的趨勢。

瑞星“云安全”系統監測發現，一旦出現微軟漏洞，很快會被惡意攻擊者廣泛采用來進行網頁掛馬活動。2月20日，瑞星公司發出2009年度第一個紅色（一級）安全警報，因為針對IE7新漏洞（MS09--002）的病毒攻擊代碼在網上公布，導致利用該漏洞的新木馬病毒大量出現。從瑞星“云安全”數據中心統計看，該漏洞補丁發布日期前后的一段時間，惡意掛馬網站的數目以及攔截次數均有不同程度的漲幅。 

圖

圖

由于該類木馬病毒的暴增，根據瑞星“云安全”系統的統計，僅在2月19日就截獲了高達866萬人次的掛馬網站攻擊，比前一天增加了一倍。從瑞星“惡意網站監測網（http://mwm.rising.com.cn/）”上可以看到，利用該漏洞的掛馬網站攔截量直線上升，已升為當時危害最嚴重的漏洞。

圖

微軟公司3月20日向所有開放Internet Explorer 8（簡稱IE8）免費下載，雖然微軟官方聲稱IE8給用戶上網提供了更簡化的操作和更安全的功能，但其安全性仍存在嚴重問題，用戶上網仍會被掛馬、釣魚網站所威脅。經過瑞星安全專家測試，使用IE8瀏覽器過程中，目前互聯網上泛濫的掛馬網站和釣魚網站是無法有效攔截防御的。測試分別訪問了2009-taobao.com這個冒充淘寶網（正確網址www.taobao.com）的釣魚網站和http://www.fc5656.****s.htm掛馬網站均無法攔截。

2、掛馬網站壽命分析

“掛馬網站壽命”是指網站從開始被掛馬到掛馬被消除（或被攔截）的時間間隔。關于這個“壽命”的問題越來越值得重視，因為掛馬網站壽命越長，可能傳播及受害面就越廣，受到安全威脅的用戶數量就越多。瑞星“云安全”數據中心截獲的數據表明，截獲次數最多的前十名掛馬網站短的1天，最長的壽命是5天。掛馬網站壽命終結的原因可能有幾種：一是該網頁被具有防掛馬功能的安全軟件攔截；二是該網頁的惡意代碼被網站管理員清除；三是黑客自己撤掉該網頁中的惡意代碼；四是該網頁已關閉無法訪問。

瑞星“云安全”數據中心統計數據還表明，“掛馬網站壽命”和受攻擊人次并不成正比，也就是說，壽命短的“掛馬網站”侵害用戶數量并不少。比如http://***.710sese.cn/***/ss.htm壽命僅短短的1天，期間就有2244051人次受到攻擊，被攔截次數的排名迅速躍居到第一位。

參加瑞星“云安全”計劃，可以縮短掛馬網站的壽命。瑞星“云安全”數據中心于2009年1月16日第一次監控到木馬網站http://%%%%.706sese.cn，發現在一天之內有1301018人次網民受到攻擊。監控數據表明，它的壽命長達約兩個月，一直持續到3月11日。但是，對于加入“云安全”并及時升級瑞星軟件的用戶來說，這個網站的“壽命”僅為1天！原因是，由于瑞星迅速將其加入掛馬網站庫，基于“云安全”技術的瑞星全功能安全軟件和瑞星個人防火墻便可以自動攔截該掛馬網站。瑞星“云安全”數據中心統計表明，在這之后瑞星自動攔截該惡意網木馬網站高達4080776次，為廣大網民提供了強有力的安全防護。#p#

3、票務中國被黑客惡意掛馬

2009年1月21日，流行票務網站“票務中國（http://www.piaocn.com/）”被黑客惡意掛馬，網頁中被植入惡意代碼，代碼位于域名為http://####.706sese.cn的服務器上。用戶一旦訪問該網站訂票，就會被下載大量盜號木馬病毒，從而導致網游、網銀或QQ賬號密碼丟失。當時，掛馬網站706sese已經名列掛馬網站排行榜第一位，一周內侵襲了144萬人次網民。  

圖

(票務中國被掛馬)

票務網站、電影下載網站已經成為黑客掛馬的重災區，占據了近期所有類型掛馬網站的80%以上。由于此類網站在節日期間的訪問量巨大，中毒用戶的數量將不在少數。

每當國慶、元旦、春節、圣誕節這樣的大型節日臨近，網民們會通過網上訂票等方式豐富自己的節日生活，或通過互聯網查詢并購買回家的機票、查找自己感興趣的網游外掛，或下載喜歡的電影或游戲。黑客正是瞄準了這個機會，通過惡意掛馬，使很多網民經常訪問的網站被黑，最終使用戶電腦中毒，經濟利益受損。

4、“獵殺者外掛”被掛馬

2009年3月2日，瑞星“云安全”系統截獲的數據表明，網游玩家中流行的“獵殺者外掛”程序被黑客掛馬，截至當天17時為止，瑞星已攔截到59169人次網民訪問該帶毒網頁。 

圖

根據瑞星公司技術部門分析，被植入木馬的網頁為獵殺者外掛內嵌的網頁，玩家在使用獵殺者外掛之后，會自動打開那個被掛馬的網頁。由于該外掛使用者眾多，因此訪問量非常大，在短短的時間之內，才侵襲了如此多的玩家。

據了解，獵殺者外掛被植入的木馬地址為http://***.230it.cn/，該惡意網木馬網站當日攔截的掛馬網站的22.91%。玩家一旦訪問了被掛馬的網頁，電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒，對玩家的利益造成嚴重影響。

5、“極品時刻表”被掛馬

2009年3月9日，瑞星“云安全”系統提供的數據表明，網民中流行的“極品時刻表”軟件被黑客掛馬，截至當天19時為止，瑞星已攔截到66757人次網民遭到攻擊。極品時刻表內嵌的網頁被黑客植入木馬，當用戶使用該軟件查詢列車車次時，就會遭到攻擊。 

圖

（點擊“查詢”按鈕之后，該軟件自動打開的內嵌廣告頁帶毒） 　　

被植入木馬的網頁為極品時刻表內嵌的廣告網頁，用戶在使用“查詢”功能之后，該軟件會自動打開那個被掛馬的網頁。該網頁中使用了多個常用軟件的流行漏洞，如果用戶沒有做好相應的防護，很容易中毒。 　　

據了解，極品時刻表被植入的木馬地址為http://***.6t65r.cn/，該惡意網木馬網站量在那幾天上升極快，可能黑客還把該網頁植入了其它常用網站或軟件當中。玩家一旦中毒，電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒，從而帶來極大的安全風險。#p#

6、酷狗兩次掛馬事件

從監測數據看，酷狗在2009年2月25日曾被掛馬，當天截獲到KuGoo.exe訪問掛馬網站的數量為337519，第二天2月26日為480800，那一次掛馬的“壽命”長達兩天，直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進程訪問掛馬網站數據量暴增，為724381，達到平時訪問量的30倍之多，那次掛馬持續了一天，3月15日被清除恢復正常，當天顯示數量下降至18964。

以3月14日為例，最早在3月14日凌晨4點19分酷狗論壇上就有用戶反饋酷狗被掛馬，直至當天中午11點47分仍有類似的帖子出現。惡意網木馬網站為的“壽命”越長，傳播和受害面就越廣。尤其是沒有安裝網頁木馬攔截功能的軟件的這部分用戶，絲毫察覺不到自己的計算機已遭到攻擊、入侵。一旦木馬病毒下載后自動運行，信息安全就受到嚴重威脅。 

圖

7、黑客網站明碼標價 “買主”按臺數購買染毒電腦

2009年3月18日，瑞星通過“云安全”系統截獲一個黑客建立的染毒電腦銷售網站（http://121.***.127.73/），登陸這個網站，就可以看到他們總共控制了多少臺染毒電腦（或稱“肉雞”）、染毒電腦的IP地址等詳細數據。這是黑客用來向“客戶”銷售“肉雞”的網站，“客戶”可以選擇“肉雞”的IP地址，然后按照臺數和控制時間等等條件付款，獲得這些“肉雞”的控制權。    

從目前該網站的數據來看，該黑客至少已經控制了34795臺電腦，并以每天150臺左右的速度增長。下圖中的“安裝總數量”就是黑客控制的染毒電腦臺數；下面的“最后30臺安裝者”中，可以看到染毒電腦的IP、中毒時間等數據。    

圖

所謂“肉雞”就是被黑客控制的電腦，黑客在這些電腦中植入木馬、后門等病毒，或者利用電腦的不安全設置（如管理員賬號密碼過于簡單、系統存在漏洞、未安裝殺毒軟件等）等條件，在用戶未察覺的狀況下遠程控制這些電腦，進行各種非法操作，國內非常著名的“灰鴿子”病毒就是典型的后門程序。    

圖

( 某“后門”程序控制端界面)#p#

四、惡意網站掛馬分析

1、利用各種漏洞

2009年第一季度，黑客對于漏洞的利用趨勢沒有明顯轉變，其主要用途仍然在網頁掛馬上，包括RealPlayer、迅雷、PPlive等流行軟件都出現過嚴重漏洞，被黑客利用傳播木馬。

由于目前流行的各種熱門網站、客戶端軟件和瀏覽器，都存在著眾多漏洞和安全薄弱點，使得用戶遭到攻擊的渠道暴增；而且，隨著黑客-病毒產業鏈臻于完善，支撐互聯網發展的多種商業模式都遭到了盜號木馬、木馬點擊器的侵襲，使得用戶對于網絡購物、網絡支付、網游產業的安全信心遭到打擊。

瑞星專家提醒說，現在的木馬病毒絕大多數通過漏洞傳播，而且多數木馬病毒運行時沒有明顯的異常特征，用戶很難及時發現自己已經中毒。只要用戶電腦上的漏洞存在，訪問掛馬網站中毒的風險就一直存在。即使安裝了殺毒軟件，也只能在病毒入侵時攔截，風險比彌補漏洞之后會高許多倍。

2、針對合法信賴的網站

門戶網站、Web2.0以及搜索類網站代表了當前網站的典型形式，同時也成為黑客們關注的焦點。借助這些網站龐大的數據庫、良好的信譽和對Web2.0應用的有力支持，這些網站擁有高可信賴度和良好的信譽，為那些惡意程序的制造者創造了大量的機會。傳統上，網民們有如下錯誤觀念：只有不良網站才會帶毒、才會被掛馬，只要堅持良好的瀏覽習慣，就可以躲避盜號木馬的侵襲。統計數據表明，這樣的觀念已經過時，那些所謂的“正常網站、大中型網站”正在整個木馬鏈條中發揮著越來越重要的作用。

瑞星公司的抽樣統計顯示，每天約有30%的網民上網時會遇到掛馬網站。這些掛馬網站中80%以上屬于管理不嚴的正規網站，其中包括新聞網站、網絡論壇、博客網站等。多個主流門戶網站首頁懸掛的廣告中被植入木馬病毒，用戶訪問這些網站就會中毒。顯而易見，越來越多的惡意攻擊源自合法可信賴的網站。

3、利用“肉雞”牟利

黑客利用“肉雞”一般有以下幾種方式：  

（1）黑客一旦控制了“肉雞”，就可以很方便地從該電腦中盜取用戶的隱私信息。如網銀、網游、聊天工具等軟件的賬號密碼，以及私人文檔、照片等；  

（2）控制攝像頭進行偷拍。很多游戲玩家和下載狂人的電腦經常是24小時開機，如果攝像頭沒有拔掉，就會被黑客偷拍，進行網上公布、甚至敲詐勒索。  

（3）幫助某些流氓廠商提高安裝量或點擊率。黑客可以在“肉雞”中安裝大量的插件或流氓軟件，瘋狂點擊或彈出廣告，從廣告主那里收獲廣告費；  

（4）將“肉雞”直接出賣給從事盜號或其他非法目的的人；  

（5）黑客控制了一定數量的“肉雞”，同時自動刷新訪問某個網站，提升該網站的訪問量、造成網站癱瘓(DDos攻擊），或者使某個網站服務器、防火墻癱瘓，國內很多游戲廠家曾經就受到過這種攻擊，并被勒索。

此前央視3•15晚會上曝光的網上出售的個人信息，有很多就是通過這種途徑竊取來，掛馬網站已經成為個人信息泄露的重要途徑之一。         

建議網民采取以下措施，讓電腦避免成為“肉雞”： 

設置復雜系統管理員密碼，通常建議設為8位以上數字、字母、符號的組合； 

關閉危險的端口（TCP137、445、3389和UDP135、139、445、）和沒有必要的服務； 

及時更新系統和第三方軟件的漏洞； 

安裝并及時升級殺毒軟件和防火墻； 

經常檢查系統日志、服務、注冊表等相關項。

4、瑞星掛馬網站攔截功能

以“票務中國（http://www.piaocn.com/）”被黑客惡意掛馬為例，如果安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”，當網民瀏覽掛馬網站時，瑞星2009會立即提示網頁存在惡意代碼，并顯示漏洞名稱，如下圖。   

圖

再以“極品時刻表”被掛馬為例，被植入木馬的網頁為極品時刻表內嵌的廣告網頁，用戶點擊“查詢”按鈕之后，該軟件會自動打開那個被掛馬的網頁。安裝了“瑞星殺毒軟件2009”或“瑞星全功能安全軟件”會立即提示網頁存在惡意代碼，并顯示病毒名稱，如下圖。因為其獨有的“木馬入侵攔截”功能可以攔截掛馬網站帶有的木馬。 

圖

“瑞星殺毒軟件2009”、“瑞星全功能安全軟件”產品都擁有掛馬網站攔截功能，可以自動攔截網頁中帶有的掛馬網站，在木馬進入用戶電腦之前即將其攔截。