教你如何识别Web网页木马

MarsIiang

日前，某安全厂商发布了其2008年十大威胁预测，而Web威胁位居十大威胁榜首。而微软的IE浏览器，更是成为攻击者首选的攻击载体，因为网页已经成为木马或恶意软件的最佳传播途径。权威机构的调查数据显示，仅2007年前两个季度，通过Web页面传播的木马每月新增300多种。很多用户在上网过程中认为只要不随意下载软件，便不会中毒，在这种错误的防范意识下，Web网页木马成为了威胁企业网络正常运行的罪魁祸首。加之一些Web网页木马都是免杀型的，如何识别Web网页木马成为困扰普通用户的一大难题。
　　Web网页木马之所以很难识别，一是因为其具有非常高的隐蔽性；二是因为很多Web网页木马都被攻击者进行了精心的伪装，致使杀毒软件无法对其进行查杀，这也就是我们俗称的免杀型木马。其实，只要了解Web网页木马发作及传播途径，识别Web网页木马并不难。
　　Web网页木马特点及传播方式
　　Web木马并不是木马程序，而是借助Web页面传播的一类木马的总称，也是一种通过攻击浏览器或浏览器外挂程序（目标通常是微软IE浏览器和ActiveX程序）的漏洞，向目标用户机器植入木马的一种手段。通俗一点说，Web网页木马就是木马利用Web页面传播的一种方式，而其传播方式，主要有以下几种：
　　主动攻击式传播：相信很多QQ用户会经常收到这样的一段话，“这是我最近刚拍的照片，已经上传到网上，请点http:// www.XXX.com/ download/ XX.zip”的一段话。类似内容的话还经常出现在聊天室，以及诸如新浪UC、网易泡泡等即时通讯聊天软件的对话框中。这就是Web网页木马的主动攻击方式。攻击者通过各种欺骗，引诱等手段，诱使用户访问放置有Web网页木马的网站，如果用户不小心访问了该网站，就有可能感染木马。图一

　　借助QQ传播的Web网页木马
　　目前，主动攻击式传播是Web网页木马最常用的攻击方式，也是非常有效的一种传播方式，因为主动攻击传播方式抓住了一些用户疏于防范及好奇的心理。
　　被动攻击式传播：相比而言，被动攻击比主动攻击更隐蔽，而且更难发现。被动式攻击，通常是攻击者入侵互联网上访问量比较大的站点，并在其页面中插入Web网页的代码。一旦用户浏览了被插入Web网页木马的页面，计算机便会在后台完成木马软件的下载，就这样，木马神不知鬼不觉的被种植在用户的计算机中。一些攻击者甚至入侵IDC机房的服务器，将ARP欺骗的恶意代码广为传播。不难看出，被动攻击式的传播方式，比主动攻击式的传播方式，不仅隐蔽，而且危害性更大，清除难度也更大。
　　其实，Web网页木马是木马借助浏览器传播的一种形式，与其他病毒传播方式相比更为隐蔽，因为网民每天都在上网。由于大多数Web网页木马本身对杀毒软件具有非常强的免疫性，如何才能准确识别Web网页木马呢？
　　根据电脑表现识别Web网页木马
　　由于Web网页木马有非常强的隐蔽性，而且杀毒软件对于一些Web网页木马没有查杀能力，这种情况下，我们可以根据电脑工作时的表现识别Web网页木马。通常，感染了Web网页木马的电脑，有以下几种现象：


　　1、系统反应速度变慢：由于攻击者制造Web网页木马通常使用的IE浏览器漏洞，其手法通常是利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码的。因此，用户遭受溢出类的网页木马的攻击时，通常系统的反应会变得十分缓慢，CPU占用率很高，浏览器窗口没有响应，也无法使用任务管理器强行关闭。

　　对于1G以上的大容量内存计算机而言，感染了Web网页木马之后通常仍然能够打开任务管理器。如果发现任务管理器的进程中，IE浏览器的进程在90％以上，可以判定用户的电脑已经感染了Web网页木马。除了上述现象之外，感染了Web网页木马的计算机硬盘还会进行频繁的写操作，硬盘指示灯会长亮。

　　2、进程加载变化：Web网页木马一旦在用户的计算机中加载成功，运行时也会占用一个进程。不过，由于一些攻击者将木马程序伪装成一个正常的程序，或者是将系统进程偷梁换柱，普通用户很难发觉。其实，只要使用“瑞星卡卡上网安全助手”这样的第三方软件，可以轻松查看每个进程加载的程序，如果发现有可疑程序，则证明用户的计算机感染了Web网页木马。

　　3、浏览器长时间无法打开一个网页：如果用户访问了插入木马下载站点的Web页面，浏览器会自动在后台下载木马程序，对于网络速度比较慢的用户，浏览器的表现则是长时间无法打开一个网页。仔细观察浏览器左下角的状态栏，如果发现下面显示的链接与当前访问的网站链接不符，则证明计算机已经感染了Web网页木马。

　　4、安全警报：目前，一些功能比较先进的杀毒软件可以查杀Web网页木马，在访问一些被植入木马下载代码的Web页面时，杀毒软件会报警。另外，使用Google搜索查找资料时，如果Google对于植入恶意代码的Web页面也会有安全警报，用户需要格外注意。

　　Web网页木马变化多端，而且善于隐蔽。不可否认，一些功能先进的杀毒软件可以查杀Web网页木马，但对于Web网页木马的识别，更多的依赖于用户的警惕和谨慎，以及防范。

　　如何防范Web网页木马的入侵

　　无论是主动攻击，还是被动攻击，Web网页木马都是利用浏览器及操作系统的漏洞而传播的。为此，防范Web网页木马的入侵，应该从封堵系统漏洞做起。

　　1、及时安装系统安全补丁：微软操作系统本身有很多系统漏洞，IE浏览器也会有一些安全漏洞。使用过程中，用户必须及时关注微软的安全通报，及时安装微软公布的各种安全补丁就可以了。由于大部分Web网页木马是根据系统漏洞来入侵的，安装系统补丁可以最大限度的防范Web网页木马的入侵，但并不能完全遏制。

　　2、安装防毒能力强的杀毒软件：杀毒软件可以查杀Web网页木马，但并不是所有的杀毒软件都可以查杀Web网页木马。为此，用户需要购买一些防毒能力强的杀毒软件，尤其在防范Web网页木马方面有特效的杀毒软件。在使用中，要及时更新杀毒软件的病毒库，这样才能让杀毒软件能够具有防范最新Web网页木马的能力。

　　3、使用第三方浏览器：由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE内核的第三方浏览器可以从源头上堵住网页木马的攻击。

　　4、良好的上网习惯：在上网过程中，不要点击网友通过QQ或MSN发来的链接，也不要随意接收网友发给自己的文件。对于一些不熟悉的网站，建议不要浏览，如果发现浏览时浏览器出现无响应的异常现象，立即强行中止浏览器进程，并进行安全检查。良好的上网习惯，可以有效的防范Web网页木马的入侵。

　　结束语：病毒木马远处不在，安装了杀毒软件并不意味着计算机不会感染病毒。Web网页木马不仅隐蔽性非常强，而且可以躲避很多杀毒软件的查杀，这就需要用户擦亮眼睛，仔细辨别，不给Web网页木马可乘之机。