騰訊電腦管家瀏覽器漏洞防禦模組上報的資料顯示，自7月起，攔截到的掛馬網頁地址數量發生了急劇增長。透過進一步分析發現，這批木馬不僅可以在使用者電腦中安裝大量的推廣軟體，甚至還有可能進行盜號等惡意行為，給使用者的電腦和帳號帶來風險。

使用瀏覽器漏洞掛馬是目前網際網路上最常用的攻擊手段。它利用了IE等瀏覽器在開發過程中遺留的一些缺陷，可以在使用者不知情的情況下執行攻擊者指定的惡意程式。由於去年4月微軟已經停止對Windows XP系統的維護，這就意味著微軟不會在再對後來的公開漏洞釋出任何安全更新，所以一些已經公佈的漏洞在XP系統中還將長期存在。正因為如此，漏洞掛馬已經被很多黑色產業利用，用於在未打補丁的系統中自動執行惡意程式。透過梳理騰訊電腦管家近期對掛馬網頁的攔截資料，我們可以一窺黑色產業的內幕。

0x00 影響範圍

---

7月以來，使用漏洞進行掛馬的網頁呈現明顯的增長態勢，目前每日攔截的網址已經超過3000個。

從使用者分佈地域上來看，受害使用者較多的地區為廣東、山東、河南、河北、江蘇等省。

0x01 掛馬網站

---

大部分漏洞的利用原理是使用瀏覽器指令碼進行攻擊，所以攻擊者第一步需要在網頁裡埋伏下對應的攻擊指令碼，然後等待使用者訪問網頁時觸發。

從網站型別上來看，攻擊者一般是自建一些導航類或色情類的網站，吸引使用者主動訪問。也有一些攻擊者會先購買大型網站上的廣告位，然後在使用者瀏覽廣告的時候悄悄觸發。

取一天的資料，可以看到惡意網址在一天內被攔截的時間分佈情況，從8點之後攔截掛馬網頁的資料持續穩定，在中午2點和半夜11點出現了兩個頂峰：

0x02 後門木馬

---

使用者訪問被掛馬的網站後，VB指令碼會自動執行並且從指定的位置將惡意程式下載到使用者的電腦上執行。以其中數量最多的一個木馬為例：

該木馬在網頁上的名稱叫做cale.exe（與系統程式calc.exe很相近），而下載之後儲存到硬碟上的名稱叫做putty.exe（與知名的網路連線工具名稱一致）。

該木馬首先會透過taskkill、VirtualFreeEx破壞程式、映像劫持等多種方式，結束電腦中的安全軟體。

接下來，木馬會釋放一個驅動，該驅動會恢復atapi的IdePortDispatchDeviceControl ，IdePortDispatch兩個ioctl dispatch，用於對抗網咖還原軟體。然後傳送srb穿透還原軟體，把自身寫入磁碟，達到永久駐留的目的。

同時，木馬會訪問一個網路地址，獲取接下來要下載的木馬檔案，依次執行。使用網路地址的目的在於，木馬作者可以隨時替換其中的內容，達到不同的控制目的，實際效果等同於一個簡單的後門。在分析木馬的時候，該地址返回的內容如下：

經分析，這些連結中的木馬會繼續進行盜號等進一步的惡意行為。

0x03 盜號木馬

---

我們選擇前文連結中一個比較有特點的盜號木馬進行分析。

該木馬啟動以後，首先在windows目錄釋放一個可執行檔案，名字為隨機生成。

然後結束有關於QQ軟體的一切程式，迫使使用者重新啟動QQ。

接著該木馬進入一個無限迴圈，用於監控使用者重啟QQ的操作。迴圈中每隔100毫秒列舉一次當前程式，如果發現了有QQ程式，表明使用者重新啟動了QQ，則立即結束掉真正的QQ程式，而啟動剛剛釋放的可執行檔案進行代替。

這個可執行檔案的作用就是使用一個偽裝的QQ登入視窗，欺騙使用者在其中輸入QQ號和密碼。可以看到，這個登陸視窗確實做得很逼真，大量細節也很到位，跟真正的登入視窗基本無法分辨，使用者很容易上當，以為是真的QQ登入視窗。

當使用者輸入了QQ號密碼點選登陸以後，木馬會悄悄把內容記錄下來，以HTTP GET的方式，上傳到木馬作者的伺服器上。如圖，假設輸入QQ號：111111111 密碼：22222222：

可以看出，Windows目錄下的這個可執行檔案才是木馬最關鍵的惡意行為的載體，之前的手段包括網頁掛馬、躲避殺軟，躲避還原軟體，駐留等等，都是為了這個最終的木馬掃清障礙。可見現在木馬分工極其明確，各個模組都有各自的職責。

0x04 廣告推廣

---

除此之外，還有一些網頁掛馬後下載的木馬的作用是推廣軟體。當訪問這些網頁以後，過一會兒電腦中就會多出各種各樣的軟體，木馬作者透過安裝軟體，向軟體作者索要推廣費用從而獲利。下圖是安裝此類木馬一段時間之後，桌面上多出來的軟體快捷方式和推廣軟體的介面：