专题讲座:简论网页病毒及其防治策略
发布时间:2009-08-26 14:37
◎袁 艺 张连伟 张 磊
转自中国保密在线(http://www.baomi.org/)
随着互联网在社会生活中的深入应用和发展,网页技术也在不断改进和升级,由最初仅支持简单的纯文本静态页面,到现在DHTML、Java、ActiveX、Flash、流媒体等新技术的引入,使得网页功能更加丰富多彩的同时,也给网页病毒的滋长提供了温床。
网页病毒主要是指利用浏览器或操作系统的安全漏洞,通过执行嵌入在网页内的恶意代码或借助恶意控件和插件等可执行程序,强行修改用户浏览器或操作系统设置,非法获取用户文件,或下载其他病毒、木马和流氓软件的恶意程序。网页病毒是一类特殊的病毒,普通病毒侵入计算机的方式虽然复杂,但用户只要把好文件关,不拷贝、不下载、不打开可疑文件,不预览、不打开可疑邮件,就能够有效避免病毒感染。而网页病毒则是在用户浏览网页时感染计算机,且不会有任何提示,普通用户如果不会识别和防范带有病毒的网页而中毒,其后果轻则默认主页被强行修改、自动弹出广告窗口、收藏夹被加入不明网站地址等,重则硬盘被格式化,造成文件丢失或系统被彻底破坏。
早在Java技术刚引入网页设计中时,有的网站站长就在其网站主页中悄悄加入恶意代码,当用户访问这些网页时,就会擅自改动用户的注册表,强制修改浏览器默认主页等,以达到增加网站流量,提高网站知名度的目的,这就是网页病毒的雏形。近年来,网络病毒愈演愈烈,其目的性、破坏性、隐蔽性更加明显,特别是“网页挂马”现象的泛滥,使其成为互联网的一大“公害”。根据瑞星公司《2008年度中国大陆地区电脑病毒疫情及互联网安全报告》中的数据显示,2008年病毒数量继续暴增,比2007年增长12倍以上,其中由“网页挂马”所传播的木马、后门等病毒占90%以上。大到一些大型门户网站,小到一些不知名的个人网站,都曾遭遇网页挂马问题,不久前闹得沸沸扬扬的国家公务员考试网和中国税务网被挂马事件就是一个典型的例子。该报告指出,“网页挂马”已成为目前最主要的互联网安全威胁,彻底改变了普通用户长期认为的“浏览正规网站就一定安全”的过时观念。
网页病毒的主要症状
网页病毒的威胁主要有两类,一类是利用脚本语言编写的恶意代码攻击所产生的直接危害;另一类是浏览挂马网页后下载的病毒木马产生的间接危害,通常后者更为严重。
恶意代码攻击的主要目标是浏览器和操作系统。恶意代码攻击浏览器的症状主要有:修改默认主页,使其指向不良网站,并禁用IE的Internet选项设置,使用户无法改回原来的主页地址;修改默认的IE搜索引擎,当输入关键词并点击IE工具栏的“搜索”按钮进行搜索时,也会打开预先设置好的不良网站;浏览器标题栏被添加非法信息;浏览器鼠标右键菜单或收藏夹被添加非法网站链接;浏览器工具栏被非法添加按钮;浏览器菜单“查看”下的“源文件”选项被屏蔽;每次打开网页时自动弹出广告窗口;浏览器运行死循环脚本代码或不断打开网页,导致系统资源耗尽而死机等等。
恶意代码攻击操作系统的症状主要有:系统启动后出现不明对话框;系统启动后浏览器自动链接不良网站或首页被再次修改;硬盘被格式化或本地文件被非法读取、修改或删除;注册表被锁定,导致用户用常规办法无法修改;开始菜单中的“注销”、“运行”、“关闭”项和“我的电脑”被隐藏,桌面被添加非法网站链接;“控制面板”和“网上邻居”等设置被禁用等等。
网页挂马攻击的症状比较复杂。当访问到挂马网页时,通常情况下,浏览器在后台开始大量下载木马病毒,造成系统一次性感染多个恶性病毒,导致系统反应速度十分缓慢,CPU占用率居高不下,浏览器窗口失去响应,也无法使用任务管理器强行关闭,一些内存较少的计算机还会频繁进行磁盘读写操作。少数情况下,用户在遭受攻击时,系统不会产生明显的变化,但鼠标指针会短暂地变成沙漏形状,用户一不留意就会错过,此时用户打开任务管理器,如果看到有非用户启动的iexplore.exe进程或其他可疑进程,则很可能是遭受了网页挂马攻击。如果用户在打开某个合法网站时,发现IE浏览器左下角的状态栏一直显示一个和当前访问网站毫无关系的网址,同时系统响应变得很慢,或者是鼠标指针变成沙漏形状,这也是遭到攻击的重要症状之一。
提高浏览器的安全性
由于多数网页病毒都是利用恶意代码调用浏览器控件或插件来起作用的,通过合理设置浏览器的安全性选项,正确管理浏览器的加载项,就能大大提高其安全性能,有效预防网页病毒的感染。下面以IE7.0为例,介绍如何设置和管理浏览器加载项。
一是禁用无用的加载项。在日常上网过程中,我们需要经常加载使用的浏览器控件或插件并不多,只有Windows Update、Flash、Real play以及网上银行和电子商务等方面的控件和插件。如果出现了不明功能的加载项,很可能是中了网页病毒,需要立即禁用。其具体操作步骤是,在IE菜单中选择“工具→管理加载项→启用或禁用加载项”,弹出“管理加载项”设置对话框,在“显示”下拉框中将“Internet Explorer中当前加载的加载项”改为“Internet Explorer已经使用的加载项”,此时在下方的列表中就可以看到当前浏览器的所有加载项了。需要禁用某加载项时只需选中,然后在下方“设置”面板中选择“禁用”即可。当无法判断控件和插件的安全性时,还可以借助超级兔子、360安全卫士等软件自动判断和清理。
二是管理下载浏览器控件。在安装好必要的浏览器控件后,就可以禁止浏览器在上网时下载其他控件,从而防止网页病毒利用不良控件进入计算机。其具体操作步骤是,在IE菜单中选择“工具→Internet选项”,在弹出窗口中选择“安全”标签页并点击里边的“自定义级别”按钮。在弹出的“安全设置”窗口中将“下载未签名的ActiveX控件”和“下载已签名的ActiveX控件”两项都设置为“提示”,这样上网时浏览器就不会再额外自行安装任何控件了。当网页提出申请需要安装一些新的浏览器控件时,应先根据控件发布方等情况来确认其安全可靠后,才能根据提示进行安装。一般情况下,不推荐用户安装未签名的ActiveX控件。
防范网页病毒的措施
除上述对IE浏览器进行安全性设置以提高其安全等级以外,在日常上网冲浪的过程中,采取以下措施也是十分必要和有效的。
一是要及时更新系统补丁尤其是IE的补丁。高版本的IE一般都修复了大部分已知的漏洞,安全性自然也更高。网页病毒的受害者通常都是因为没有及时升级操作系统及IE的补丁,留给了网页病毒可乘之机。
二是要安装并及时更新反病毒软件。这样即使网页病毒在后台下载了大量的其他病毒和木马,但只要试图加载运行,就可能被反病毒软件拦截报警。瑞星、江民、诺顿等主流反病毒软件都有网页监控和脚本监控功能,上网时一定要开启使用。有的反病毒软件还有恶意网站屏蔽功能,当用户不慎访问到被反病毒厂商列为黑名单的恶意网站时,浏览器能给出警示并自动跳转到指定的安全页面。
三是要尽量使用第三方浏览器。由于目前互联网上常见的网页病毒一般利用针对IE浏览器及其ActiveX控件的漏洞进行传播,而使用火狐(Firefox)、Opera等非IE内核的第三方浏览器,由于不采用ActiveX控件技术,可以杜绝与ActiveX控件有关的网页病毒感染。不过第三方浏览器在兼容性上稍逊于IE浏览器,一些交互性较强的网页,如各种使用ActiveX密码登陆控件的网上银行就不能使用第三方浏览器登陆,因此用户在访问这类网页时必须使用IE浏览器。
四是要养成良好的上网习惯。不要访问色情网站、免费破解软件下载网站等不正规站点。不要随便点击各种来源不明或明显带有诱惑性文字的网页链接,以防止落入黑客的圈套。当发现正规网站被黑客入侵并被网页挂马时,用户应及时报告网站管理员,以避免更多的用户中毒受害。
五是要善用搜索引擎提示。用户在使用搜索引擎查找资料过程中,由于经常点击搜索结果中的陌生网页,因此很容易由此感染网页病毒。Google等搜索引擎在搜索结果页面中会自动提示此网页的安全性,如果目标网页警示为危险,用户最好不要冒险点击打开。
六是要安装辅助安全工具。目前,只要不是遭受网页挂马攻击,由网页病毒感染后导致的一般问题和故障,IE修复专家、雅虎助手、超级兔子等一些辅助安全软件都能很好地修复。例如,雅虎助手就具有一键修复功能,能轻松修复由于访问恶意网页导致的浏览器默认主页被修改、收藏夹被加入陌生网址等问题,对于普通用户来说,解决此类问题就不再需要亲自动手去修改注册表等较为复杂的操作了。
事件回放:
据新华网2009年2月11日报道,金山软件公司反病毒工程师10日晚监测到,国家公务员考试网被黑客网页挂马。据工程师分析,被植入的木马是臭名昭著的“猫癣”新变种。这款变种会利用IE7 0day漏洞、微软Access漏洞、新浪UC漏洞和Real Play漏洞等多种系统和第三方软件的安全漏洞发动攻击。如果用户计算机系统存在以上漏洞,又刚好浏览了被“挂马”的网页,“猫癣”就会乘虚而入,它不仅会盗取多种知名网游的账号,还会在染毒计算机桌面上不断弹出大量广告窗口,令用户苦不堪言。
金山软件公司反病毒工程师通过测试还发现,至少有140个国内合法网站被挂马,并且其中有不少还是每日浏览量数十万的著名网站。据统计,仅在今年2月遭到网页挂马的网站除国家公务员考试网外,知名度较高、访问量较大的还有中国税务网、百事可乐北京站、中国语文网、瑞丽女性网、华南师范大学网站、铁道网、北京大学中国公益彩票事业研究所网站、天空游戏网等。
转自中国保密在线(http://www.baomi.org/)
随着互联网在社会生活中的深入应用和发展,网页技术也在不断改进和升级,由最初仅支持简单的纯文本静态页面,到现在DHTML、Java、ActiveX、Flash、流媒体等新技术的引入,使得网页功能更加丰富多彩的同时,也给网页病毒的滋长提供了温床。
网页病毒主要是指利用浏览器或操作系统的安全漏洞,通过执行嵌入在网页内的恶意代码或借助恶意控件和插件等可执行程序,强行修改用户浏览器或操作系统设置,非法获取用户文件,或下载其他病毒、木马和流氓软件的恶意程序。网页病毒是一类特殊的病毒,普通病毒侵入计算机的方式虽然复杂,但用户只要把好文件关,不拷贝、不下载、不打开可疑文件,不预览、不打开可疑邮件,就能够有效避免病毒感染。而网页病毒则是在用户浏览网页时感染计算机,且不会有任何提示,普通用户如果不会识别和防范带有病毒的网页而中毒,其后果轻则默认主页被强行修改、自动弹出广告窗口、收藏夹被加入不明网站地址等,重则硬盘被格式化,造成文件丢失或系统被彻底破坏。
早在Java技术刚引入网页设计中时,有的网站站长就在其网站主页中悄悄加入恶意代码,当用户访问这些网页时,就会擅自改动用户的注册表,强制修改浏览器默认主页等,以达到增加网站流量,提高网站知名度的目的,这就是网页病毒的雏形。近年来,网络病毒愈演愈烈,其目的性、破坏性、隐蔽性更加明显,特别是“网页挂马”现象的泛滥,使其成为互联网的一大“公害”。根据瑞星公司《2008年度中国大陆地区电脑病毒疫情及互联网安全报告》中的数据显示,2008年病毒数量继续暴增,比2007年增长12倍以上,其中由“网页挂马”所传播的木马、后门等病毒占90%以上。大到一些大型门户网站,小到一些不知名的个人网站,都曾遭遇网页挂马问题,不久前闹得沸沸扬扬的国家公务员考试网和中国税务网被挂马事件就是一个典型的例子。该报告指出,“网页挂马”已成为目前最主要的互联网安全威胁,彻底改变了普通用户长期认为的“浏览正规网站就一定安全”的过时观念。
网页病毒的主要症状
网页病毒的威胁主要有两类,一类是利用脚本语言编写的恶意代码攻击所产生的直接危害;另一类是浏览挂马网页后下载的病毒木马产生的间接危害,通常后者更为严重。
恶意代码攻击的主要目标是浏览器和操作系统。恶意代码攻击浏览器的症状主要有:修改默认主页,使其指向不良网站,并禁用IE的Internet选项设置,使用户无法改回原来的主页地址;修改默认的IE搜索引擎,当输入关键词并点击IE工具栏的“搜索”按钮进行搜索时,也会打开预先设置好的不良网站;浏览器标题栏被添加非法信息;浏览器鼠标右键菜单或收藏夹被添加非法网站链接;浏览器工具栏被非法添加按钮;浏览器菜单“查看”下的“源文件”选项被屏蔽;每次打开网页时自动弹出广告窗口;浏览器运行死循环脚本代码或不断打开网页,导致系统资源耗尽而死机等等。
恶意代码攻击操作系统的症状主要有:系统启动后出现不明对话框;系统启动后浏览器自动链接不良网站或首页被再次修改;硬盘被格式化或本地文件被非法读取、修改或删除;注册表被锁定,导致用户用常规办法无法修改;开始菜单中的“注销”、“运行”、“关闭”项和“我的电脑”被隐藏,桌面被添加非法网站链接;“控制面板”和“网上邻居”等设置被禁用等等。
网页挂马攻击的症状比较复杂。当访问到挂马网页时,通常情况下,浏览器在后台开始大量下载木马病毒,造成系统一次性感染多个恶性病毒,导致系统反应速度十分缓慢,CPU占用率居高不下,浏览器窗口失去响应,也无法使用任务管理器强行关闭,一些内存较少的计算机还会频繁进行磁盘读写操作。少数情况下,用户在遭受攻击时,系统不会产生明显的变化,但鼠标指针会短暂地变成沙漏形状,用户一不留意就会错过,此时用户打开任务管理器,如果看到有非用户启动的iexplore.exe进程或其他可疑进程,则很可能是遭受了网页挂马攻击。如果用户在打开某个合法网站时,发现IE浏览器左下角的状态栏一直显示一个和当前访问网站毫无关系的网址,同时系统响应变得很慢,或者是鼠标指针变成沙漏形状,这也是遭到攻击的重要症状之一。
提高浏览器的安全性
由于多数网页病毒都是利用恶意代码调用浏览器控件或插件来起作用的,通过合理设置浏览器的安全性选项,正确管理浏览器的加载项,就能大大提高其安全性能,有效预防网页病毒的感染。下面以IE7.0为例,介绍如何设置和管理浏览器加载项。
一是禁用无用的加载项。在日常上网过程中,我们需要经常加载使用的浏览器控件或插件并不多,只有Windows Update、Flash、Real play以及网上银行和电子商务等方面的控件和插件。如果出现了不明功能的加载项,很可能是中了网页病毒,需要立即禁用。其具体操作步骤是,在IE菜单中选择“工具→管理加载项→启用或禁用加载项”,弹出“管理加载项”设置对话框,在“显示”下拉框中将“Internet Explorer中当前加载的加载项”改为“Internet Explorer已经使用的加载项”,此时在下方的列表中就可以看到当前浏览器的所有加载项了。需要禁用某加载项时只需选中,然后在下方“设置”面板中选择“禁用”即可。当无法判断控件和插件的安全性时,还可以借助超级兔子、360安全卫士等软件自动判断和清理。
二是管理下载浏览器控件。在安装好必要的浏览器控件后,就可以禁止浏览器在上网时下载其他控件,从而防止网页病毒利用不良控件进入计算机。其具体操作步骤是,在IE菜单中选择“工具→Internet选项”,在弹出窗口中选择“安全”标签页并点击里边的“自定义级别”按钮。在弹出的“安全设置”窗口中将“下载未签名的ActiveX控件”和“下载已签名的ActiveX控件”两项都设置为“提示”,这样上网时浏览器就不会再额外自行安装任何控件了。当网页提出申请需要安装一些新的浏览器控件时,应先根据控件发布方等情况来确认其安全可靠后,才能根据提示进行安装。一般情况下,不推荐用户安装未签名的ActiveX控件。
防范网页病毒的措施
除上述对IE浏览器进行安全性设置以提高其安全等级以外,在日常上网冲浪的过程中,采取以下措施也是十分必要和有效的。
一是要及时更新系统补丁尤其是IE的补丁。高版本的IE一般都修复了大部分已知的漏洞,安全性自然也更高。网页病毒的受害者通常都是因为没有及时升级操作系统及IE的补丁,留给了网页病毒可乘之机。
二是要安装并及时更新反病毒软件。这样即使网页病毒在后台下载了大量的其他病毒和木马,但只要试图加载运行,就可能被反病毒软件拦截报警。瑞星、江民、诺顿等主流反病毒软件都有网页监控和脚本监控功能,上网时一定要开启使用。有的反病毒软件还有恶意网站屏蔽功能,当用户不慎访问到被反病毒厂商列为黑名单的恶意网站时,浏览器能给出警示并自动跳转到指定的安全页面。
三是要尽量使用第三方浏览器。由于目前互联网上常见的网页病毒一般利用针对IE浏览器及其ActiveX控件的漏洞进行传播,而使用火狐(Firefox)、Opera等非IE内核的第三方浏览器,由于不采用ActiveX控件技术,可以杜绝与ActiveX控件有关的网页病毒感染。不过第三方浏览器在兼容性上稍逊于IE浏览器,一些交互性较强的网页,如各种使用ActiveX密码登陆控件的网上银行就不能使用第三方浏览器登陆,因此用户在访问这类网页时必须使用IE浏览器。
四是要养成良好的上网习惯。不要访问色情网站、免费破解软件下载网站等不正规站点。不要随便点击各种来源不明或明显带有诱惑性文字的网页链接,以防止落入黑客的圈套。当发现正规网站被黑客入侵并被网页挂马时,用户应及时报告网站管理员,以避免更多的用户中毒受害。
五是要善用搜索引擎提示。用户在使用搜索引擎查找资料过程中,由于经常点击搜索结果中的陌生网页,因此很容易由此感染网页病毒。Google等搜索引擎在搜索结果页面中会自动提示此网页的安全性,如果目标网页警示为危险,用户最好不要冒险点击打开。
六是要安装辅助安全工具。目前,只要不是遭受网页挂马攻击,由网页病毒感染后导致的一般问题和故障,IE修复专家、雅虎助手、超级兔子等一些辅助安全软件都能很好地修复。例如,雅虎助手就具有一键修复功能,能轻松修复由于访问恶意网页导致的浏览器默认主页被修改、收藏夹被加入陌生网址等问题,对于普通用户来说,解决此类问题就不再需要亲自动手去修改注册表等较为复杂的操作了。
事件回放:
据新华网2009年2月11日报道,金山软件公司反病毒工程师10日晚监测到,国家公务员考试网被黑客网页挂马。据工程师分析,被植入的木马是臭名昭著的“猫癣”新变种。这款变种会利用IE7 0day漏洞、微软Access漏洞、新浪UC漏洞和Real Play漏洞等多种系统和第三方软件的安全漏洞发动攻击。如果用户计算机系统存在以上漏洞,又刚好浏览了被“挂马”的网页,“猫癣”就会乘虚而入,它不仅会盗取多种知名网游的账号,还会在染毒计算机桌面上不断弹出大量广告窗口,令用户苦不堪言。
金山软件公司反病毒工程师通过测试还发现,至少有140个国内合法网站被挂马,并且其中有不少还是每日浏览量数十万的著名网站。据统计,仅在今年2月遭到网页挂马的网站除国家公务员考试网外,知名度较高、访问量较大的还有中国税务网、百事可乐北京站、中国语文网、瑞丽女性网、华南师范大学网站、铁道网、北京大学中国公益彩票事业研究所网站、天空游戏网等。