挂马网站 快快现出原形
安全维护
“黑榜”每天都会收到大量的求助信息,其中约半数都与挂马网站相关,“黑榜”是如何判断网站是不是被挂马了?想必大家都很好奇吧,下面我们就来揭秘“黑榜”分析挂马网站的手段。
工具分析验证法
“黑榜”收集挂马网站,主要靠的是读者举报,这种模式跟瑞星等安全厂商依靠海量用户群收集信息是一样,所不同的在处理信息上,我们全部依靠人工完成。“黑榜”收到读者的挂马网站的举报信息后,会先有一个预判,该网站是不是已经被“黑榜”收录了或者当天已经检测过了。
如果没有被“黑榜”收录或当天没有检测过,就调出挂马网站分析工具进行深入的研究。“黑榜”常用的挂马网站分析工具主要有Malzilla、Redoce、MDecoder和网页木马扫描器。
其中用得较多是Malzilla和网页木马扫描器(工具下载地址:http://www.shudoo.com/bzsoft),Malzilla的功能相对来说比较全,使用起来比较方便;网页木马扫描器简化了技术分析,直观的给出答案。一般来说,验证挂马网站时,先用网页木马扫描器进行初步的判断,再用Malzilla进行深入地分析(有的时候,为了节省时间会省去使用网页木马扫描器这个环节)。
启动网页木马扫描器(图1),在顶部输入框内输入鉴定网站的网址,“扫描层数”选择3,”扫描线程数”选择10,再点击“扫描”按钮,软件就会自动对鉴定网站进行分析,给出检测结果。扫描的层数越多会增加扫描时间,扫描线程数越多会占用更多的内存资源。
网页木马扫描器虽然直观,但省去了很多技术分析的细节,所以还需要对网站进行进一步地分析。启动Malzilla(图2),输入鉴定网站的网址,点击“获取”,再点击“超链接”标签,可以看到网站所有的超链接,如果看到.exe的文件就要留心一下,下载该文件进行分析,判断是不是病毒。如果看到加密的代码,就对代码进行解密操作,分析是不是跟挂马有关。
直接访问验证法
如果每个鉴定网站都走这一套流程,是相当耗时的,所以“黑榜”有另外一种验证方法,就是在虚拟环境中,访问鉴定网站,看杀毒软件和网页木马拦截工具是否报毒,如果杀毒软件或网页木马拦截工具报毒,就证明该网站被挂马了(图3)。
这种验证方法的优点是省时省力,但缺点是可能会漏报,而我们的原则是不放过一个挂马网站,所以这种验证方法不能取代工具验证,只是一种辅助的验证技巧,在鉴定色情网站时常常被使用(因为色情网站是病毒的重灾区)。
“黑榜”的成功离不开背后默默支持的高手,如果不是他们辛勤地分析网站,很难及时处理读者举报的全部信息,在此感谢来自魔狼军团、恶意网站实验室的高手!