下面就介绍两种最主流的Web威胁，它们已成为我们桌面系统感染的主要来源。

　　偷渡式下载暗渡陈仓

　　“偷渡式下载”是当前最阴险的恶意件感染方式之一。用户只要浏览网站，可执行内容即可在用户毫不知情或未经用户许可的情况下，自动下载到用户的计算机上。该过程无需用户互动。

　　下图展示了成功发生偷渡式下载时的典型事件序列，我们每天都看到很多类似的例子。

▲图4 偷渡式下载工作模式

　　1) 攻击者入侵合法的“好”网站

　　攻击始于发现一些“好”的网站，这些网站往往用户规模庞大。攻击者通过一些攻击手段能够将隐藏式IFRAmE 插入到合法网站(常见技术，如 SQL 注入攻击)的一个或多个页面。该链接指向另一个恶意网站，那个网站将会向毫无戒备的用户提供实际恶意代码。

　　2) 用户访问“好”网站

　　虽然用户通过Windows Update不断更新计算机(以确保其计算机上的基本操作系统和浏览器已安装所有最新软件补丁程序)，但是当用户访问被入侵的“好”网站时，由于其系统中运行的多媒体插件和文档查看器(用于播放音乐、查看文档)已过时，且具有可被远程入侵的漏洞，而用户并不知情，因此在不知不觉中便中了“好”网站的招。

　　3)用户在无提示的情况下被重定向至“坏”网站

　　来自“好”站点页面的隐藏式 IFRAmE 导致用户的浏览器在无提示的情况下，会从“坏”网站提取内容。由于它执行了该操作，“坏”站点就能确定用户的计算机上在运行什么样的操作系统、网络浏览器和易受攻击的插件。坏站点则根据该信息确定用户在运行的附加于浏览器的易受攻击的多媒体插件。

　　4)向用户的计算机下载恶意代码

　　坏网站向受害者的计算机发送包含攻击的特制多媒体数据;一旦多媒体播放器播放了该内容，攻击者就会控制该计算机。

　　5)在用户的计算机上安装恶意代码

　　利用用户的多媒体播放器中的漏洞，在用户的计算机上安装一个或多个恶意件文件。

　　6)恶意软件利用用户的系统

　　现在恶意代码会盗窃个人信息(如网上银行信息、电子邮件、游戏密码)，并将它发送给攻击者。

　　社会工程学攻击李代桃僵

　　目前恶意软件创作者为了在无需用户操作的情况下闯入用户计算机而使用一些技术，正如偷渡式下载。这些技术利用了用户未打补丁的计算机上的漏洞。恶意件创作者的工具箱里还有甚至可以攻击谨慎型用户及其计算机的其他工具。此类攻击侧重于社会工程技术，下面就介绍一下社会工程学攻击。

　　“社会工程”其实是“骗局”的现代叫法。它描述了这样一种状况：受害者被骗去做他们本不会做的事情。在本部分我们将介绍一些较常见的社会工程技术，它们会让被骗用户会在自己计算机上下载和安装恶意件。

▲图5社会工程学攻击工作模式

　　1)假冒编码解码器

　　网络上存在数十种不同的多媒体文件格式，很多格式需要使用特殊软件方可查看或聆听。同样，网络用户知道，有时他们需要下载和安装新的媒体播放器或浏览器插件模块，方可查看自己所访问站点上的内容。现在，如果您在访问新站点时被提示，您需要下载最新版本的新播放器或插件，您并不会感到有什么不同寻常。常用术语“编码解码器”指的是一种软件，它能解码二进制文件，然后重建原始版本的音频或视频。

　　恶意件创作者正是利用了人们这种熟视无睹的心理。他们建立起承载着富有诱惑力的内容(如成人内容或音频、视频文件存储库)的网站，用户一旦访问该内容，就会收到这样的提示：需要安装新的编码解码器，方可访问本站点的内容。可执行内容其实不是编码解码器，而是恶意件，用户只要授权，就会在其计算机上下载和安装该恶意件。

▲图6 假冒的编解码插件

　　该屏幕截图展示了一种假冒编码解码器，它表面上说是安装“视频”编码解码器，其实是安装恶意件。这样的例子还有很多：恶意件创作者通过使用来自可信视频和多媒体播放器的徽标和图标，获得了更高程度的合法性。

　　被安装的“视频编码解码器”其实是感染用户计算机的特洛伊木马。Trojan.zlob 和 Trojan.Vundo 是我们在 2008 年发现的极为常见的特洛伊木马。受感染的博客评语、垃圾即时消息和恶意文字广告是将用户送至此类假冒编码解码器网站的主要推动力量。

　　2)假冒的P2P文件下载

　　P2P文件共享系统已成为合法和非法数字内容的常见共享方式。它们为恶意件提供了另一个通过网络进入用户计算机的途径。恶意件创作者将其恶意内容绑定到流行应用程序中。为了让用户感兴趣，他们会以极富创意的方式为文件命名，例如使用名人的名字或流行品牌的名称。

　　然后他们将文件上载到流行的文件共享站点上，在那里等待毫无戒备的用户。当用户搜索自己选择的应用程序或电影时，网站会向他们提供已被恶意件入侵的版本。

▲图7 P2P网站的假冒下载列表

　　研究中还发现了以开放形式提供的、介绍此类伪装恶意件应用程序创建过程的在线教程资料，其中包括如何向 P2P 站点发布此类应用程序的操作指南，应使用哪些站点，如何使用代理服务器来提供文件和如何防止因误用而被关闭的建议等等。

　　面向Web应用及浏览器的攻击，已经成为最普遍和常见的入侵行为。企业员工在享受互联网及Web应用带来的便捷的同时，Web也已成为企业的安全风险的入口。如何有效解决面向客户端的入侵和攻击，将是企业IT管理员和CIO在未来2-3年持续关注的新趋势和焦点问题。华为赛门铁克在WEB安全领域有着持续不断的跟踪分析，华赛的全系列UTM+产品具有深度的安全防护能力，能有效的抵御最新的面向Web和浏览器的攻击，有效的保护企业办公安全。华为赛门铁克时刻关注内容安全领域的最新威胁，通过全球的网络威胁监控系统获取最新的威胁发展趋势，通过安全易用的UTM+系列产品，为客户打造最安全的网络环境。