对十种Web恶意软件的详细分析

此文阐述的是臭名远扬的十种Web恶意软件，根据思科所发布的2010年全球威胁报告的内容，犯罪份子正利用搜索引擎优化与社交工程来使其邪恶伎俩更高效，将更多的目标受害者吸引到少量的网址上。传播恶意软件的网站可能已经趋于稳定，
但是web所滋生的恶意软件却在与日俱增。根据思科所发布的2010年全球威胁报告的内容，犯罪份子正利用搜索引擎优化和社交工程来使其伎俩更高效，将更多的目标受害者吸引到少量的网址上。借助于IronPort SenderBase，思科
估计搜索引擎查询导致了74%的web恶意软件感染。幸运的是，其中的三分之二并没有产生漏洞利用代码或者已经被阻止。但这意味着35%的web漏洞利用仍在浏览器中肆虐，在这里这些恶意代码试图破坏文件，窃取信息，传播自己，或等待进一步的指示。浏览器的钓鱼过滤器、反恶意软件引擎及最
新的补丁可以在对付到达桌面的恶意软件的战斗中扮演重要的角色。但是，为了发现单位目前尚未防备的恶意软件和未打补丁的漏洞，让我们
来看看当今最流行的web恶意软件工程是如何运行的。第十位：思科的报告中占据最后一位的是Backdoor.TDSSConf.A。这个木马属于内核模式rootkit的TDSS家族，TDSS文件是由另外一种木马Alureon所产生的。一旦安装，TDSS就可以隐藏相关的文件和键值，并且使用rootkit策略来禁用反病毒程序。从电脑中清除TDSS相当困难：使用最新的反恶意软件工具来阻止文件的产生也许是更好的办法。第九位：Mal/Iframe-F可谓"宝刀不老"。许多变种都使用了这种流行的技术：把一个不可见的HTML〈iframe〉标记
插入到其它的合法网页中，从而秘密地将浏览者重定向到其它网站。隐藏的iframe可能会逃过人类的肉眼，但是web内容扫描器却可以找到它，web URL过滤器可以阻止到达黑名单中的站点的重定向。第八位：与Iframe-F相媲美的是JS.Redirector.BD，这种特洛伊木马也可以将用户指引到一个用户并不打算访问的网站。如同JS.Redirector家族的其它成员一样，这种木马使用模糊技术试图逃避黑名单过滤器的检查，如采用动态生成的目标URL等。第七位：Backdoor.Win32.Alureon是动态的具有多面性的特洛伊木马，它的目的是为了从受害人的web活动中获取收入。它的每一个实例中的恶意软件组件都不相同，但Alureon却能够修改DNS设置，劫持搜索结果，显示恶意广告，截获机密数据，任意下载文件，并且可以破坏磁盘驱动。思科的威胁报告表明，Alureon已被用于在受感染的计算机上生成TDSS。第六位：Worm.Win32.VBNA.b可以将其自身植入到用户的"Documents and Settings"文件夹中，并向注册表中添加一个Run(运行)键值。
然后，VBNA能够自启动，并将其自身通过可写入的文件夹传播到邻近的电脑中。VBNA
还会显示一个虚假的病毒感染警告，目的是为了欺骗用户去购买虚假的反恶意软件(通常只是另外一个恶意软件)。这种能够侵害不明真相的用户的伎俩有上升趋势。第五位：JS.Redirector.AT是特洛伊木马家族中的另外一个成员，它可以将用户重定向到其它的网站。这些网站一般是色情网站、钓鱼网站，并且可以向受害人的电脑上安装恶意软件。抵制这些特洛伊木马的方法之一就是禁用JavaScript的执行。为了安全起见，用户最好还要在Acrobat Reader中阻止隐藏在PDF文档中的JavaScript。第四位：Mal/GIFIframe-A可谓
前面所谈到的Iframe-F的兄弟。它使用iframe标记，但是这个恶意软件家族利用的iframe是一种特殊的标记，这种标记被注入到用流行的GIF和JPG图形格式编码的文件中。在某个用户访问一个受感染的网站或试图加载图形时，受感染的iframe就会被处理，执行攻击者所提供的代码。第三位：键盘记录木马PSW.Win32.Infostealer.bnkb占据恶意软件3%的份额，并且它有大量的变种木马，主要针
对大量的机构及其客户。其主要目标就是捕获用户的击键，扫描特定的web业务，并窃取与网络银行相关的用户名、口令、账户等。第二位：JS.Redirector.cq是JS.Redirector的新变种。如同其它家族成员一样，这种特洛伊木马使用恶意的JavaCript来对用户进行重定向。然后，用户会发现自己位
于一个网站上，要求其扫描病毒，并下载虚假的反病毒代码，不管用户单击了窗口中的任何位置，这种下载都被强制执行。但是合法网站是怎么感染上JS.Redirector这种木马的？思科的报告称，其最常用的一种手段是SQL注入攻击。第一位：臭名昭著的Exploit.JS.Gumblar占据着2010年所有恶意软件中5%的份额。Gumblar是一个可以在受害人系统上产生加密文件的下载器。Gumblar在无需用户同意的情况下就运行可执行代码，将JavaScript注入到HTML页面中，由web服务器返回或由用户的浏览器显示出来。这种被注入的JavaScript通常包含着一种很模糊的漏洞利用;早期的脚本可以从gumblar.cn下载更多的恶意软件，该木马由此得名。上面这个列表的目的并不是为了告诉你要扫描哪些恶意软件，而是要提醒你要不断地更新桌面上、服务器上、网关上所安装的反恶意防御系统。你应当使用这个清单及类似的其它清单，来对付针对web服务器和用户的各种恶意威胁。