“黑榜”2007半年风云
网络安全
经过4320小时不懈地追踪,有百万读者的共同参与,一份披露中国恶意网站发展的权威分析报告诞生了。
上半年“黑榜”分析:恶意网站成灾 ARP欺骗肆虐
数万亿计的网页中隐藏的杀气、障眼法、迷幻术正在四处弥漫,又有多少人中招倒地?究竟是什么原因让上网变得不再安全?广大网民又该如何防范?不可否认,恶意网站已经快泛滥到失控的程度,以致成为当前互联网头号威胁,破坏力远远超过了传统病毒。
谁也没有想到仅1年时间,原本还遮遮掩掩种类单一的流氓软件迅速蜕变为流氓网站。现在我们随处可见的泛恶意网站,是在那场轰轰烈烈颇具革命色彩的反流氓软件运动的呐喊声中完成蜕变的。
2007年“黑榜”栏目诞生了,旨在让每位读者参与到打击网络恶意行为的活动中来,号召全民共同揭发举报肆虐网络的恶意网站和恶意软件。半年时间里,共收到21390封读者来信(截至7月15日),其中有效举报信18641封。每期分类整理后提取举报数最多的4~5个恶意网站利用动态行为分析软件、IP反向定位、IP反向域名查询等技术手段采集证据予以曝光,收到了良好的效果。为此我们发布了上半年“黑榜”分析报告并独家推出了HOSTS反黑文件。
本报独家观点一:忽视ARP风暴酿大祸
由《电脑报》发布的2007年上半年度中国十大恶意网站名单已经揭晓。结果让人大跌眼镜, 7y7.us以迅猛的传播速度和杀伤力稳做榜首,其余一字排开从第一名到第8名竟然全是ARP欺骗类型网站,且集中爆发于4、5、6月期间。
用一波未平一波又起形容当时的情况最为合适,这些ARP欺骗网站联手在第二季度给我国互联网沉重一击,侵入多所大学、企业后迅速蔓延至全网,网管只能依靠不断封内网IP断网隔离。花费了大量时间精力逐一清除修复,然而好景不长,赶走了虎豹又迎来了豺狼,新的变种再度袭来……导致教学和生产工作受到严重影响。
其实ARP欺骗并不是什么新技术,多年之前便已存在,但之所以此次事件造成极为恶劣的后果,究其原因除了近几年攻击手段发展较快外,与整个安全界对ARP忽视不无关系,普通网民对ARP更是知之甚少。
纵观国内主流安全厂商居然没有一家在防火墙组件中内置抗ARP攻击功能,倒是事发后一些个人工作室和网络安全爱好者自己编制了ARP防御软件供网民应急。所以希望安全厂商能在以后的新产品中加以改进。
本报独家观点二:传统流氓软件退出市场
2007年上半年相比去年同期,恶意网站数量不降反升,呈几何级数增长趋势。由于传统流氓软件开发难度大、周期长且需要大量的资金长期注入,加之包括《360安全卫士》等一大批卸载工具的出现,终因VC风投(风险投资商)失去兴趣导致资金链断掉而彻底退出市场,曾经嚣张至极的部分流氓软件如今都销声匿迹了。
本报独家观点三:流氓网站迅速泛滥
然而这块市场并没有因此萎缩,令人诱惑的巨额利润依然吸引着越来越多人铤而走险,他们转入地下隐蔽研发成本更低、感染速度更快、破坏力更强的流氓网站。2006年末以新出的MY123.com、7939.com为代表的一大批流氓网站发动突袭,一路攻城略地仅一周时间就创下了感染百万电脑的记录。为了逃避安全厂商的合力围剿,这些流氓网站采取了后台自动升级、Rootkit自我保护等以往只有病毒才使用的技术。
病毒制作技术早已公开化,如今轻易就能下载到的ANI蠕虫生成器,随手打开一个网站都可能含有病毒。Google对全球抽样的450万个网页深度分析后发现竟有45万个网页可在用户不知情的情况下强行安装恶意代码,我们每天访问的网页超过1/10的含有恶意软件,这个数字还在不断增长,恶意网站已经在全球普遍泛滥。
上半年“黑榜”之“最”
上半年共发布“黑榜”23次,曝光或警告各类恶意网站108家,分布如下:
1.最“臭名”的恶意软件仓库:7y7.us
7y7.us的臭名已经达到了家喻户晓的地步,招牌式的ARP欺骗着实“骗”了一大片的局域网用户,害人不浅。这类网站通常没有首页或页面无任何实质内容,但却在伪造的404错误页面中嵌入恶意代码,同时在网站根目录和二级目录中存放有各种病毒、木马、恶意插件。利用页面的恶意代码打开系统后门,随即在后台下载这些病毒达到多重破坏效果。
编辑点评:第二季度出现了大批携有ARP欺骗病毒的恶意网站,导致局域网瘫痪打开任何网页都带毒的情况,这在以往是未曾出现过的,恶意网站不断推出新花样甚至采取了突袭策略,让人防不胜防。
2.最“难缠”的彩铃短信:sms591.com
sms591.com是上半年最“难缠”的恶意彩铃短信网站,它使用恶意软件承载推广,手法极其隐蔽,用SREng扫描系统侦侧均不能发现其踪影。由于页面嵌入了木马下载器,一旦访问就会入侵电脑,并且源源不断下载各种病毒木马,造成屡杀不绝的现象。
编辑点评:由于彩铃短信网站竞争失衡,谁不用恶意推广方式谁就拉不住客户,结果恶意代码、插件、病毒……能用的全用上了。客户投诉量暴涨,移动联通开始对SP运营商大力整顿严格审查,并逐渐收回统一管理SP业务渠道,大量彩铃短信站被迫关闭,实乃害人终害己。
3.最“逼真”的钓鱼网站: level-qq.cn
黑榜一、二季度都有曝光钓鱼网站,level.qq.cn都名列前茅。骗子完全伪造了一个QQ官方网站,并以各种名义举办免费QQ升级、免费得Q币等活动,诱导网民输入自己的QQ号码和密码,骗取QQ。此外,页面中还嵌入了QQ病毒。
编辑点评:钓鱼网站可以说是花样百出,屡禁不止,6月更是出现了伪造卡巴斯基杀毒软件,诱骗用户下载Picasa软件的新型钓鱼网站。大家上网一定要多个心眼,不要轻信盲听。
4.最“阴毒”的免费电影: 1717kan.cn
不得不说1717kan.cn是最“阴毒”的电影娱乐网站,其index 1077.asp页面嵌有大量病毒木马及恶意插件,并统计受害人数。当打开该页面时,浏览器顿时崩溃,重启IE发现已被破坏得面目全非了。
编辑点评:天上永远不会掉馅饼,一年数万元的服务器托管费用从何而来?这笔费用只能转嫁到影迷身上,从最初的看电影必须先点击广告逐步发展为在电影文件中嵌入恶意代码,影迷在聚精会神看影片时,恶意代码已经侵入系统在后台下载其他病毒、木马,等一场电影看完系统也已被蛀得千疮百孔了。
5.最“霸道”的股票咨询网站:files.hen bang.net
股市的火爆仿佛让我们进入了全民炒股时代,最“霸道”的files.henbang.net股票网站蹦出来了,它通过释放恶意代码窜改注册表、锁定用户浏览器,每天定时弹出推广页面大吹特吹,生怕别人不知道自己的优秀“业绩“,一会是特大黑马出现,一会是10万现金送给你……强迫股民每日洗脑,搞得身心疲惫、神经麻木。
编辑点评:上半年股市疯涨,许多股票咨询网站也“风生水起”,利用股民的发财梦,大肆行骗,这一现象在下半年还会持续。股民最好去正规的大网站获得股票信息、咨询问题,比如新浪财经、搜狐财经等等,这样就可以避免被恶意的股票咨询网站搔扰。
6.最“恶毒”的恶意MP3网站:tianmp3.cn
tianmp3.cn提供的音乐文件全是由后缀名为.mp3或.wma的病毒伪造成的,足足有几万首歌曲,网民点击这些歌曲,实则运行了病毒。更有QQ空间的爱好者将该网站的歌曲链接到空间里,结果造成访问空间的好友也尽数中招。
编辑点评: 恶意MP3网站提供的免费MP3下载让无数用户心动,如果放松了安全警惕,就会导致电脑病毒泛滥。上半年这类网站灭而不绝,值得我们深思,也许音乐搜索引擎也该做出改进了。
7.最“NB”的搜索导航:4199.com
4199.com可以说是上半年搜索导航网站中最“NB”的,一旦中招,浏览器读取的HOSTS文件就是它提供的恶意HOSTS文件。同时监视注册表操作一旦发现自身服务项被删除,立刻暴力重写。自我保护手段高超,一度无法被任何安全工具检测到。
编辑点评:大规模爆发的4199、7939之类数字命名的恶意导航站。终于引起了全民的公愤,在第一季度大肆嚣张后被连续曝光,加之众多安全软件的联合围剿屏蔽,从第二季度开始数量大幅下降,呈现出完全颓败的趋势。
8.最“顽固“的色情赌博:36**.com
36**.com开办了多家色情论坛,内容不堪入目,最高在线人数更是上万。并在网页中施放病毒,弹出大量淫秽色情广告窗口谋取暴利。“黑榜”已将此类网站曝光多次并及时上报国家违法和不良信息举报中心。
编辑点评: 清理网络淫秽色情始终是个老大难,荒淫腐化的内容极易使人生活堕落思想萎靡,甚至走上犯罪道路。近期全国新一轮整顿清理淫秽色情网站行动开始了,希望广大网友积极提供线索举报。
9.最“令人抓狂”的恶意下载站:fly down.net
飞翔软件园flydown.net曝光后仍不思悔改,继续作恶。没有任何提示就疯狂安装各类插件、病毒木马,强行关闭杀毒软件和防火墙。看似偌大的一个网站实则空壳而已,全站数千个软件下载地址都指向同一个恶意软件包,让你进得来出不去,除了中招还是中招,害人不浅。
编辑点评:最令人气愤无法容忍就是恶意下载站,用披着羊皮的狼来形容再恰当不过。这些恶意下载站之所以如此红火主要还是一个“骗”字,他们收录一些少有的破解的软件并大肆吹捧,给出的下载链接却是恶意软件包,就等不明真相的网民前来自投罗网,害人不浅。黑榜一、二季度曝光了数家读者反映集中的恶意下载站。近期我们将重点曝光打击这类恶意网站。
全球首发HOSTS反黑文件
最新版本:2007.07.16
文件大小:5KB
全球唯一下载地址:http://www.cpcw.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\windows\system32\Drvers\Etc即可。
为了感谢广大读者对“黑榜”的支持,我们将上半年《电脑报》收集整理的恶意网站制作成HOSTS反黑文件(包含大量未曝光的网站),提供给读者免费下载。利用该文件就可彻底屏蔽主要的各类恶意网站,无须再手工逐一屏蔽了。此外从下期开始HOSTS反黑文件将会定期更新,请随时关注下载。
另外,为了进一步提升读者的积极性,扩大举报渠道和数量,“黑榜”将在电脑报论坛开辟专门的举报交流板块,大家可在线发帖交流互助。同时我们也启用全新的举报邮箱 pcw-chengdx@vip.sina.com,来信主题处请注明“黑榜举报”,并附上带屏幕截图,以便我们快速分析。
“黑榜”曝光成效及原因分析
1.曝光成效分析
被曝光的恶意网站现在情况如何,是否还在肆意妄为危害网络?我们做了细致的回访调查。发现曝光后有40家恶意网站自行关闭或被相关部门查处,占总数的37%。另有35家自行整改去除了站内恶意代码及病毒木马,这占到总数的32%。我们看到仍然有多达33家恶意网站被曝光后毫无变化,依旧我行我素不思悔改,甚至更新变种再度肆虐网络,所占比例竟有31%。
关闭与整改的数量合计为75家,曝光有效率为69%,这个成绩只能说刚刚及格,比第一季度统计的结果有所下降,这表明第二季度出现的恶意网站清理难度在不断加大。
2.曝光前后治理效果
搜索导航“风光不再”
曝光前数量最多的恶意软件曝光后从40家迅速减少为6家。通常此类网站集中爆发释放大量恶性病毒感染网民电脑会立即引起反病毒厂商的关注,并进行严密监控,一旦有新变种出现就会第一时间查杀,所以诸如7y7.us这样的恶意网站虽然传播迅速破坏力惊人但无法长期作案,持续时间较短。
早在第一季度总结时搜索导航网站就呈现出极佳的清理效果,此次回访成绩依旧令人满意,看来曾经异常嚣张的搜索导航站已经“风光不再”。
恶意下载站顽固不化
害人不浅的恶意下载站经过多次曝光效果依然不理想,究其原因与网民淡薄的知识产权保护意识及混乱的互联网秩序不无关系,以“破解版”、“注册机”、“序列号”作为诱饵欺骗网民上钩,很多网民已经养成了专找破解软件的习惯,长此以往恶意下载站将依然拥有很高的访问量。
网络色情形势依旧严峻
虽然相比第一季度淫秽色情网站曝光后数量有所减少,但危害仍然严重,在回访时我们发现部分色情网站被曝光后居然将服务器移至境外,企图逃避公安机关追查。论坛高峰时段竟有数千人同时在线,所发图片、影像内容不堪入目、令人作呕。打击这类淫秽色情网站还需要网民积极配合主动举报才能从根本上铲除网络黄毒。
编辑预测:今年9月迎来第二次爆发高峰
一季度“黑榜“准确预测了第二季度5、6月的安全形势,做到了提前预警。预计进入暑期后恶意网站爆发几率仍将维持较高几率,特别要注意9月各大院校开学后,系统补丁与杀毒软件久未更新新生购机高峰来临,极有可能再次爆发群体性恶意网站攻击事件。受经济利益的驱使,已有所谓的木马工作室专门向恶意网站定制开发各种恶意代码,并从非法获利中抽成,继ARP欺骗后的新式攻击手段正在酝酿中。
编辑推荐防范方法:及时更新HOSTS反黑文件
1.关注“黑榜”的曝光,及时下载HOSTS反黑文件屏蔽新出现的恶意网站。
2.务必打开Windows Update并设置为自动下载安装系统补丁,系统补丁往往比杀毒软件更重要。
3.确保病毒防火墙与网络防火墙的正常运行,并开启自动升级功能。
4.至少安装一款恶意软件清理工具,如《超级兔子》、《360安全卫士》、《瑞星卡卡》、《金山清理专家》等,至少每周清理检查一次。
5.尽量不去小型下载网站,软件下载后先用杀毒软件扫描确认无毒后再点击运行。
“黑榜”2007上半年三大热点
HOSTS反黑文件横空出世
流氓软件“进阶”流氓网站
ARP二季度愈演愈烈
编后:坚持反黑宗旨永不变
在“黑榜”每期的调查过程中,我们发现了很多不为人知的秘密,也遇到过很多困难。例如有时读者举报的恶意网址打开并无异常现象,各级页面都没有携带病毒或恶意插件,后来利用IP反查域名等技术手段找出了同一IP中的其他站点嵌有恶意代码。
恶意网站为了避人耳目,往往在同一服务器放置了多个站点,有正常网站也有恶意网站,一旦网民访问恶意网站中招后便会自动连接那些正常网站疯狂弹出广告窗口,企图用这种方式逃避审查。更有甚者将多个站点分放于国内数个地区,采用病毒文件远程调用方法,增加了我们取证的难度,但是多重定位与来路分析等技术的综合应用依旧让其无处藏身。
再如7y7.us、5y5.us等恶意ARP网站其实都是同一团伙所为,他们将服务器放置境外频繁跳转IP更新变种,当一个域名被屏蔽后立即启用另一域名继续危害网络,引发其他恶意网站竞相“学习”,从而出现了长时间的ARP攻击现象。
恶意网站的嚣张不仅仅停留在表面上,一些恶意网站被曝光后反而恶语相讥甚至进行威胁。曾经就发生过某恶贯满盈的导航网站被曝光后迅速停止了恶意行为转而声称“黑榜“无中生有恶意造谣,直到我们拿出相关证据才彻底揭露其丑恶嘴脸。再有某外挂网站被曝光后当着证据死不认账,雇用网络写手四处散布恶毒言论进行攻击,并多次威胁要起诉我们。
尽管承受着很大的压力,但我们依然信心十足,“黑榜”寄托着全国读者的厚望,面对网络丑恶势力我们誓要与其斗争到底! 战斗的号角再度响起,所有热爱网络的网民请加入我们!拿起大刀向恶意网站的头上砍去!我们的邮箱是pcw-chendx@vip.sina.com。