2010上半年恶意站点、被挂马站点汇总分析
来源:江民科技 更新时间:2012-04-14

2010上半年恶意站点、被挂马站点的特点如下。

网页挂马和恶意网站常用漏洞

据江民科技的监测数据统计,2010年上半年经常被恶意站点和被挂马站点利用的漏洞如下:

2010年上半年网页挂马和恶意网站常用漏洞

在这些漏洞中,约有60%出自微软旗下的相关产品,其余出自第三方软件。可见,微软的相关漏洞仍旧是用户面临的主要威胁。

在上述13个漏洞中,仅有两个是今年新发的漏洞,其余漏洞多是在2009年甚至是更早时间之前出现的。至今为止,这些漏洞都已通过相应的补丁或者程序的更新得以修复,可以说如果用户及时对操作系统、Office以及常用第三方软件进行更新,完全可以免遭这些网页木马的侵害,从而在很大的程度上增强了系统的安全性。

恶意站点的相关特点

国内某动态域名服务商旗下的动态域名常被不法分子用来传播网页木马和恶意程序。这类域名或许大家已经耳熟能详,例如3322.org、2288.org、9966.org、8866.org等。以2288.org为例,不法分子每天都要更换若干个域名来进行恶意程序的传播。下表所列是江民科技近期在2288.org监测到的部分用来挂马的恶意二级域名:

这些域名的二级域名通常为3位英文字母,按照每位至少存在26种可能计算下来,不法分子至少可以创造出17576个二级域名,从而可以轻易实现“打一枪换一个域名”,以此躲避对于其域名的封堵。不法分子每天都在同安全软件厂商乐此不疲地玩着这种更换域名的游戏,不过这种情况自6月底已开始大幅的减少。这或许说明,相关的域名服务商可能加大了自身的管理力度,如果是这样那必将在源头上对挂马行为起到遏制。

不仅仅是动态域名,挂马者们还利用了国外一些域名注册商的审核不严格,注册了大量的.info的域名进行恶意程序的传播。下表所列是江民科技近期监测到的部分.info域名:

从上表中不难看出,虽然不法分子有了独立的一级域名,但仍然会通过注册二级域名的方式来躲避封堵。不过这种利用.info域名进行疯狂挂马的行为在进入6月份以后也基本上处于销声匿迹的态势。

恶意站点地区分布

据江民科技的监测数据表明,挂马站点的服务器大多位于国内。其中,1月份和2月份时广东省占据的比例位居各省市之首。同时,服务器位于上海市的恶意站点数量在2月份时也有所增加。3月份,上海市已位于各地区排名之首,浙江省则紧随其后。4、5月份,河南省的恶意网站数量有明显增加,上海市和广东省则处于较为明显的回落,不过浙江省依然占据着较大的比例。进入6月份以来,贵州省和浙江省则成为了恶意站点的主要聚集地。

就整体而言,浙江省的恶意站点数量在2010年上半年各月间均保持着较为平稳的数量和发展态势,由此可见该地区已然形成了一种稳定的挂马环境或者灰色产业生态链,因此尤为值得引起有关部门的重视。

上半年监测到的被挂马站点

据江民科技的监测数据显示,2010年上半年一些地方政府网站以及一些具有较大知名度或者影响力的站点纷纷被挂马。其中,一些技术实力较强的站点在

当天就会恢复正常,而一些技术实力较弱的站点则可能屡遭篡改,或者出现长达数月的持续性挂马,从而给这些站点的用户造成了长期的安全隐患。

被黑的政府类站点也是如此,虽然现在的政府站点挂马现象较2008年而言已有所减少,但整体形势依旧不容乐观,被挂马和被篡改的事件仍旧屡见不鲜。以“黄山区政府网”为例,该站点自6月4日被江民科技监测到存在挂马事件以来,时至今日其挂马页面仍旧可以访问。由此可见,一些地方政府虽然在电子政务方面进行着积极的尝试,但在后续的技术支持与维护方面并未齐头并进,由此便给不法分子们带来了许多可乘之机。不法分子在入侵政府站点之后,可利用政府站点较为优势的硬件资源进行搜索引擎优化、文件下载服务器甚至是充当攻击跳板等,不仅影响了政府站点发挥正常的社会功能,还可能对网络安全产生更大的威胁和破坏。

附:江民科技2010上半年监测到的被挂马站点和被黑政府网站(部分):