解析臭名昭著的十種Web惡意攻擊軟件

　　

    借助于IronPort SenderBase，思科估計搜索引擎查詢導致了74%的web惡意軟件感染。幸運的是，其中的三分之二并沒有產生漏洞利用代碼或者已經被阻止。但這意味著35%的web漏洞利用仍在瀏覽器中肆虐，在這里這些惡意代碼試圖破壞文件，竊取信息，傳播自己，或等待進一步的指示。

　

    瀏覽器的釣魚過濾器、反惡意軟件引擎及最新的補丁可以在對付到達桌面的惡意軟件的戰斗中扮演重要的角色。但是，為了發現單位目前尚未防備的惡意軟件和未打補丁的漏洞，讓我們來看看當今最流行的web惡意軟件工程是如何運行的。

　　

    第十位：思科的報告中占據最后一位的是Backdoor.TDSSConf.A。這個木馬屬于內核模式rootkit的TDSS家族，TDSS文件是由另外一種木馬Alureon所產生的。一旦安裝，TDSS就可以隱藏相關的文件和鍵值，并且使用rootkit策略來禁用反病毒程序。從電腦中清除TDSS相當困難：使用最新的反惡意軟件工具來阻止文件的產生也許是更好的辦法。

　　

    第九位：Mal/Iframe-F可謂"寶刀不老"。許多變種都使用了這種流行的技術：把一個不可見的HTML〈iframe〉標記插入到其它的合法網頁中，從而秘密地將瀏覽者重定向到其它網站。隱藏的iframe可能會逃過人類的肉眼，但是web內容掃描器卻可以找到它，web URL過濾器可以阻止到達黑名單中的站點的重定向。

　　

    第八位：與Iframe-F相媲美的是JS.Redirector.BD，這種特洛伊木馬也可以將用戶指引到一個用戶并不打算訪問的網站。如同JS.Redirector家族的其它成員一樣，這種木馬使用模糊技術試圖逃避黑名單過濾器的檢查，如采用動態生成的目標URL等。

　　

    第七位：Backdoor.Win32.Alureon是動態的具有多面性的特洛伊木馬，它的目的是為了從受害人的web活動中獲取收入。它的每一個實例中的惡意軟件組件都不相同，但Alureon卻能夠修改DNS設置，劫持搜索結果，顯示惡意廣告，截獲機密數據，任意下載文件，并且可以破壞磁盤驅動。思科的威脅報告表明，Alureon已被用于在受感染的計算機上生成TDSS。

　　

    第六位：Worm.Win32.VBNA.b可以將其自身植入到用戶的"Documents and Settings"文件夾中，并向注冊表中添加一個Run(運行)鍵值。然后，VBNA能夠自啟動，并將其自身通過可寫入的文件夾傳播到鄰近的電腦中。VBNA還會顯示一個虛假的病毒感染警告，目的是為了欺騙用戶去購買虛假的反惡意軟件(通常只是另外一個惡意軟件)。這種能夠侵害不明真相的用戶的伎倆有上升趨勢。

　　

    第五位：JS.Redirector.AT是特洛伊木馬家族中的另外一個成員，它可以將用戶重定向到其它的網站。這些網站一般是色情網站、釣魚網站，并且可以向受害人的電腦上安裝惡意軟件。抵制這些特洛伊木馬的方法之一就是禁用JavaScript的執行。為了安全起見，用戶最好還要在Acrobat Reader中阻止隱藏在PDF文檔中的JavaScript。

　　

    第四位：Mal/GIFIframe-A可謂前面所談到的Iframe-F的兄弟。它使用iframe標記，但是這個惡意軟件家族利用的iframe是一種特殊的標記，這種標記被注入到用流行的GIF和JPG圖形格式編碼的文件中。在某個用戶訪問一個受感染的網站或試圖加載圖形時，受感染的iframe就會被處理，執行攻擊者所提供的代碼。

　　

    第三位：鍵盤記錄木馬PSW.Win32.Infostealer.bnkb占據惡意軟件3%的份額，并且它有大量的變種木馬，主要針對大量的機構及其客戶。其主要目標就是捕獲用戶的擊鍵，掃描特定的web業務，并竊取與網絡銀行相關的用戶名、口令、賬戶等。