二、恶意网站威胁

　　1. 概述

　　去年两大IE漏洞以及Windows Shell漏洞为病毒的传播起到了不同程度的助推作用，对互联网的信息安全造成了切实的威胁。今年上半年操作系统以及IE方面表现得较为平静，尚未出现被大规模利用的漏洞，但是例如Flash Player等常见第三方软件却接连陷入0day漏洞的漩涡之中。

　　据江民科技的监测数据显示，上半年网页木马所利用的漏洞主要包括老旧的IE浏览器漏洞(CVE-2010-0806、CVE-2009-0075)、操作系统漏洞(Windows DirectShow组件漏洞)以及新近出现的Flash Player漏洞(CVE-2011-0611、CVE-2011-2110)。对于那些较早曝出的漏洞，只要用户及时安装相应补丁即可完全防御。尤其对于那些新安装的系统而言，在完成漏洞修复之前，尽量不要访问各类网页和站点，即使是一些相对可靠的网站。因为跨站脚本攻击的存在，任何网页都可能变得不再安全。

　　受制于覆盖面、应用难度等客观原因的制约，虽然上半年一些知名的第三方应用程序被曝存在0day漏洞且出现了实际的攻击案例，但并未对病毒的传播起到太大的帮助。以Flash Player漏洞为例，成功利用不仅仅需要编写相应的网页脚本，还需要构造特殊的SWF文件。而特殊SWF文件的构造以及变形都存在一定的技术难度，因此虽然Flash Player具有庞大的用户群体，但其漏洞利用的难度也只能让一些不法分子望其兴叹。

　　整体上而言，上半年可被用于挂马的漏洞其影响要远远低于去年，同时随着旧有漏洞被越来越多地修复，这些都给病毒的传播造成了较大程度的抑制。但正因如此，病毒的传播也会由网页木马逐渐向更为广泛的途径扩展。

　　2. 病毒网站威胁

　　2011年上半年，江民科技共捕获新增病毒传播站点735个(注：以主域名计算)，平均每月新增123个。月均拦截用户对恶意站点的访问120万余次。病毒网站的传播高峰分别出现在1月份和3月份，这一传播趋势与上半年被感染计算机数量的发展趋势相同。可见，病毒站点在病毒传播的过程之中仍旧发挥着关键的作用。

　　3. 钓鱼网站威胁

　　2011年上半年，江民科技共捕获新增钓鱼站点2245个(注：以主域名计算)，平均每月新增375个。这些钓鱼网站大多仍旧延续过去的模式，以某些著名综艺节目或互联网服务提供商抽奖的名义进行诈骗。还有便是利用高度相似的域名和网页伪装成银行的官方站点进行账号的窃取。对此，各大安全厂商也纷纷拿出了自己的解决方案，例如江民杀毒软件，除了每天常规升级钓鱼网站特征库之外，还在程序中集成了“江民安全网址”功能。该功能内置了诸多常用网站的链接，用户可从其中直接点击访问目标站点，从而避免了在使用搜索引擎定位站点的过程中遭遇钓鱼网站欺骗的情况。

　　在各类Web应用不断兴起以及功能越发强大的同时，不法分子也从中嗅出了更多可以利用的机会。例如江民科技近期便捕获了一个利用QQ 空间自定义Flash控件功能进行钓鱼的网页。该网页被访问时，会弹出一个伪造的Flash登陆界面提示访客输入QQ账号信息。由于用户访问的是QQ空间页面，因此十分容易降低警惕性。如果用户提交了账号信息，则该仿冒的登陆界面会在后台将这些信息发送到不法分子指定的站点上，从而实现账号的窃取。

▲仿冒的登陆界面

▲伪造登陆界面的代码

　　除了网络钓鱼之外， Web应用的另一大安全威胁“跨站脚本攻击”也一直未曾停止过攻击，并开始盯上了越发火热的微博。例如近期爆发的新浪微博XSS蠕虫事件，便是此种攻击利用微博网站相关漏洞以及社会热点事件进行的一次成功的脚本蠕虫传播。

　　从技术层面上看，本次事件所利用的漏洞还是由于网站对提交参数过滤不严格导致，这已经是Web安全中一个老生常谈的问题了。此种攻击的可怕之处在于，进行攻击的恶意代码仅是整个URL中的一部分，而URL整体中还包含Web应用站点的正常域名，因此即使用户具有一定的安全意识，但还是会被这种相对隐晦的方式所蒙蔽、欺骗，进而放心地点击看似正常的网页链接。对于此种安全威胁，除了需要官方及时获知并修复漏洞之外，一般用户还是要依靠专业的信息安全软件以及不断的升级更新来进行防护。