Web幽灵: 浏览器恶意软件

恶意软件的现状就是这样。谷歌最近发布了一份题为《浏览器里面的幽灵: 分析基于Web的恶意软件》的调研报告。这是恶意软件分析师组成的破

解小组经过一年多研究后得出的结果，可以说是迄今有关恶意软件的最全面的研究文章之一，需要保护计算机的人都值得一读。

简而言之，谷歌使用了谷歌搜索引擎在为网站编制索引时搜集而来的所有网页数据，查找恶意代码。他们搜索了70多亿个URL，结果发现其中有45万个（约占0.06%）感染了旨在感染访问者浏览器的恶意软件。某个可疑网页被发现后，然后使用虚拟蜜罐客户软件（譬如模拟最终用户浏览行为的蜜罐）来载入该网页。随后他们记下可疑网站对访问的蜜罐客户软件的改动之处。要是网站在没有明确得到被模拟最终用户同意的情况下擅自安装软件，该网站就被标为恶意网站。有些网站只要访问它一下，最多会安装50个恶意程序。

在过去的七年，人们感染上恶意软件的最常见途径就是点击恶意文件附件或者是恶意的嵌入式Web链接。虽然用户从来不会停止打开每封奇怪的电子邮件、点击每个文件附件，但反垃圾邮件、反病毒和反恶意软件过滤器显然还是改进了功能，因为沮丧之余的黑客改而去感染（基本上）无辜的网站。

用户访问被感染的网站后，要是使用的浏览器（不仅仅是IE）或者其他应用程序（Flash和Java等）有漏洞，那么用户就会被不怀好意的机器人程序所感染。网站安全受危及共有五种方式（谷歌的那份报道提到了四大类）: 很差的网站安全; 有漏洞的应用程序（PHP、CGI、ASP和SQL等）; 用户提供的内容（譬如跨站脚本）; 加入恶意广告; 加入恶意的第三方软件组件（窗口组件）。

最后两种攻击方式很有意思。许多网站有偿加入移动的标题广告和弹出广告。虽然这些服务的维护者往往是合法、受人尊敬的网络广告商，但实际的广告内容往往分包给了分包商的分包商。最上面一级的业主不知道自己合法的标题广告服务已被使用恶意软件的犯罪分子所利用。

最后一项窗口组件同样值得关注。许多网站借用免费的窗口组件（譬如流量计数器），几个月或者几年来，窗口组件一直在正常起作用。窗口组件代码往往放在另一台外部服务器上。但以后，“免费”窗口组件的代码有可能被坏人操纵，注入恶意软件链接。在许多情况下，坏人似乎在赠送免费窗口组件，鼓励人们广泛采用，以便到时可利用这些窗口组件来进行感染。

谷歌的那份报告还有其他许多重要的方面，譬如针对银行业的特洛伊木马广泛使用; 有许多知名、可信的网站被感染等。有人利用网页的漏洞来测试客户软件、查找有没有未打上补丁的软件，这种情况越来越常见，无论软件是Windows、IE、Firefox、RealPlayer、Shockwave Flash、Java还是QuickTime。攻击者实际上会扫描计算机，查找某个漏洞，然后伺机感染。

对于恶意软件，可以从中汲取几个教训: 恶意软件的发展趋势是从恶意电子邮件转向被无辜感染的网站; 用户必须确保所有客户端的操作系统和应用软件打上了补丁（不仅仅是操作系统）; 考虑加大投入，购买能够缓解这几种恶意威胁的技术; 对最终用户进行教育，让他们认识到不断变化的恶意软件威胁，并随时保持警惕。

上一页  [1] [2]