挂马挑食 只坑搜索访问者

安全阵线

2009年10月12日 第40期

一说到挑食,大家首先想到的是在饭桌前只挑肉、不碰素的小朋友。其实除了小朋友,挂马也有挑食的。什么,挂马怎么挑食?小编最初听到此消息时,同样不相信,在对部分挂马网站进行分析后,发现的确存在这种情况,而且还是一种新的挂马方式。

用户通过搜索引擎,例如谷歌、百度、Sogou等,搜索被挂马的站点进入后,就会激活网站中的网页木马,而通过其他方式进入网站,网页木马并不执行。很奇怪吧,网页木马怎么知道用户是通过什么方式进入的?又为什么要这么做?

在网页木马的代码中,含有各大搜索引擎的地址,通过这种方式来判断用户是不是通过搜索引擎进入网站的。网页木马之所以要这样做,应该是为了逃避安全检测,增强隐蔽性,让安全研究人员不容易发现网站有异样,让一些依赖于服务端检测站点的安全软件失效。

经过研究,像IT168、PChome、硅谷动力等网站被挂马的情况就属于这种新式挂马(见图)。目前被挂马的网页众多,新式挂马所占的比例还不是很多,但这种现象值得所有安全公司的研究人员警惕,及早研究对付的措施。

40-f07-5.jpg

对普通用户而言,防范这种挂马的方法还是比较简单的,以不变应万变。上网时一定要开启杀毒软件的实时监控功能,配合使用带网页木马拦截功能的安全辅助工具,这样就不怕网页木马骚扰了。

你想在线举报恶意网站吗?你想要小编在线帮你鉴定恶意网站吗?你想跟广大网友一起声讨恶意网站吗?登录http://hd.shudoo.com/f/bb,发帖吧!

bg39-1.jpg

HOSTS反黑文件上周一共拦截了26660次,其中拦截次数最多的10个恶意网站中有5个流氓网站、1个色情网站、4个病毒网站。http://www.gp596.cn/Index.html是上周举报人数最多、最受读者憎恶的恶意网站。下面是我们挑选的针对该网站的一封读者举报信。

读者举报信:我是国金证券的股民,经常登录他们的网站http://www.china598.com看一些资讯。最近在搜索某些信息时,发现一个假冒国金证券的网站http://www.gp596.cn/Index.html(见图)。

40-f07-6.jpg

一进入假冒的网站,我这个老股民就发现不对劲。啥时候网页改版了?再仔细一瞧,晕!原来是上海国金证券投资有限公司。该网站也推荐股票中的黑马,进行特别投资,这种业务真正的国金证券根本就没有。