从事网络犯罪并不复杂,也不需要特殊的技能。正是由于以上主要原因,导致网络犯罪成为了一个利润达几十亿美元的产业,并且具有自身的自给自足经济生态系统。
感染网站的恶意程序
下面两个表格给出了2008年和2009年最常见的感染网站的恶意程序。
2008年感染网站的十大恶意程序
2009年感染网站的十大恶意程序
2008年,Trojan-Clicker.JS.Agent.h木马感染网站的数量最多,其次是Trojan-Downloader.JS.Iframe.oj木马。
示例:被Trojan-Clicker.JS.Agent.h木马感染后的页面源代码
被破译的Trojan-Clicker.JS.Agent.h木马源代码
Trojan-Clicker.JS.Agent.h木马所使用的网站注入感染技术非常典型,是2008年最常见的感染手段,在2009年的使用也非常普遍。首先,它会在网站中加入一小段JavaScript干扰代码,避免被检测到。从上图的代码中可以看到,干扰代码由简单的ASCII字符组成,是转换成hex代码的恶意代码。其解密后的内容通常是一个iframe,并且指向一个含有漏洞利用程序的网站。所使用网站的IP地址经常变化,使得网络罪犯可以经常变更恶意程序安置点。恶意网站的首页一般都包含针对IE、Firefox或Opera的漏洞利用程序。感染率仅次于Trojan-Clicker.JS.Agent.h的Trojan-Downloader.JS.Iframe.oj木马的工作方式与此类似。
2009年有两个比较有趣的案例。其中一个为Net-Worm.JS.Aspxor.a蠕虫。虽然这种蠕虫早在2008年7月就被发现了,但在2009年,才开始更为广泛的传播。这种蠕虫的工作原理是通过工具查找网站的SQL注入漏洞,然后通过漏洞插入恶意iframe。
另外一个案例是Gumblar漏洞程序。Gumblar的命名是基于一个被用来传播此恶意程序的中国域名。感染网站后,恶意程序会在被感染的网页中加入包含“gumblar”字符的JavaScript代码。所以如果网页代码中包含此字符,就表明网站已经被感染。
典型的Gumblar网站注入
如果对干扰代码解密,会发现Gumblar的代码如下:
解密的Gumblar代码
“gumblar.cn”这个域名已经被取缔,但不幸的是,幕后的网络罪犯已经转投其他新的域名继续进行类似的网络攻击。
网友评论