浏览器引发恶意软件梦魇

恶意软件由来已久。而谷歌最近的题为《浏览器里面的幽灵：分析基于Web的恶意软件》的报告则全面分析了浏览器在访问被恶意软件感染后的网站时所遭受的攻击。

恶意软件在随着潮流而发展。从过去的引导型病毒，到现在的Web服务器漏洞程序。恶意软件是流行什么就攻击什么，经过不断衍变，它可以避开无所不在的防御机制。

恶意软件历史回顾

在上世纪80年代开始对付黑客和恶意软件时，针对Apple电脑的病毒大行其道。当时Apple的PC是惟一能够找到这些病毒的地方。现在，Apple的OS X对恶意软件好像并没有超强的抵抗力: 去年，OS X的100多处漏洞被打上了补丁; 而今年，到现在为止就已经超过了100处。

IBM PC和DOS取代Apple成为主导性的个人计算平台后，DOS引导型病毒和文件病毒迅速流行起来。有意思的是，即使引导型病毒占了病毒类别总数的不到5%，却占了感染事件的80%以上。这是由于两个原因: 首先，虽然当时有许多全球性的通信网络（FIDOnet和BBS等），但它们的流行程度无法与如今的互联网相提并论。其次，早在那时，大多数计算机用户通过拷贝整个磁盘来拷贝对方的盗版软件。一叠叠软盘为引导病毒提供了一条重要的感染途径。

1992年3月，公众对引导型病毒的意识达到了顶峰，这是由于“米开朗琪罗”病毒引起的恐慌所致。有些人对这种病毒不屑一顾，以为这是媒体在炒作而已，结果却有数百万台计算机被感染。即使媒体提醒公众警惕过后几周，还是有成千上万的人在“米开朗琪罗”病毒发作那天重新格式化了计算机的硬盘。

1995年，宏病毒盛行起来。而到了1999年和2000年，电子邮件恶意软件开始到处肆虐，譬如“梅利莎”和“爱虫”事件。远程访问特洛伊木马如Back Orifice和NetBus也浮出水面。“红色代码”和“尼姆达”在2001年现身，随后SQL Slammer和“冲击波”在2003年开始大流行。

SQL Slammer为迅速传染的病毒设定了标准，因为它在短短10分钟左右的时间内几乎就能感染每一台有漏洞的SQL服务器。大多数人忘了被Slammer钻了空子的那个漏洞其实早在六个月之前已有补丁。

直到这时，恶意软件基本上还是很容易清理: 清除恶意软件，替代任何受损的文件或者数据，就可以挽回。

这一切在2003年发生了变化，那一年出现了专门为了传播垃圾邮件（垃圾邮件机器人程序）的几种蠕虫（如Sobig、Mydoom、Bagle和Netsky）。垃圾邮件机器人程序之所以会出现，是因为电子邮件管理员切断了所有开放的电子邮件中继系统，于是它们促使职业犯罪分子大肆利用恶意软件。在短短几年内，怀着犯罪动机、窃取钱财、盗取身份的机器人程序占了恶意软件总数的99%。

Web幽灵: 浏览器恶意软件

恶意软件的现状就是这样。谷歌最近了一份题为《浏览器里面的幽灵: 分析基于Web的恶意软件》的调研报告。这是恶意软件分析师组成的破解小组经过一年多研究后得出的结果，可以说是迄今有关恶意软件的最全面的研究文章之一，需要保护计算机的人都值得一读。

简而言之，谷歌使用了谷歌搜索引擎在为网站编制索引时搜集而来的所有网页数据，查找恶意代码。他们搜索了70多亿个URL，结果发现其中有45万个（约占0.06%）感染了旨在感染访问者浏览器的恶意软件。某个可疑网页被发现后，然后使用虚拟蜜罐客户软件（譬如模拟最终用户浏览行为的蜜罐）来载入该网页。随后他们记下可疑网站对访问的蜜罐客户软件的改动之处。要是网站在没有明确得到被模拟最终用户同意的情况下擅自安装软件，该网站就被标为恶意网站。有些网站只要访问它一下，最多会安装50个恶意程序。

在过去的七年，人们感染上恶意软件的最常见途径就是点击恶意文件附件或者是恶意的嵌入式Web链接。虽然用户从来不会停止打开每封奇怪的电子邮件、点击每个文件附件，但反垃圾邮件、反病毒和反恶意软件过滤器显然还是改进了功能，因为沮丧之余的黑客改而去感染（基本上）无辜的网站。

用户访问被感染的网站后，要是使用的浏览器（不仅仅是IE）或者其他应用程序（Flash和Java等）有漏洞，那么用户就会被不怀好意的机器人程序所感染。网站安全受危及共有五种方式（谷歌的那份报道提到了四大类）: 很差的网站安全; 有漏洞的应用程序（PHP、CGI、ASP和SQL等）; 用户提供的内容（譬如跨站脚本）; 加入恶意广告; 加入恶意的第三方软件组件（窗口组件）。

最后两种攻击方式很有意思。许多网站有偿加入移动的标题广告和弹出广告。虽然这些服务的维护者往往是合法、受人尊敬的网络广告商，但实际的广告内容往往分包给了分包商的分包商。最上面一级的业主不知道自己合法的标题广告服务已被使用恶意软件的犯罪分子所利用。

最后一项窗口组件同样值得关注。许多网站借用免费的窗口组件（譬如流量计数器），几个月或者几年来，窗口组件一直在正常起作用。窗口组件代码往往放在另一台外部服务器上。但以后，“免费”窗口组件的代码有可能被坏人操纵，注入恶意软件链接。在许多情况下，坏人似乎在赠送免费窗口组件，鼓励人们广泛采用，以便到时可利用这些窗口组件来进行感染。

谷歌的那份报告还有其他许多重要的方面，譬如针对银行业的特洛伊木马广泛使用; 有许多知名、可信的网站被感染等。有人利用网页的漏洞来测试客户软件、查找有没有未打上补丁的软件，这种情况越来越常见，无论软件是Windows、IE、Firefox、RealPlayer、Shockwave Flash、Java还是QuickTime。攻击者实际上会扫描计算机，查找某个漏洞，然后伺机感染。

对于恶意软件，可以从中汲取几个教训: 恶意软件的发展趋势是从恶意电子邮件转向被无辜感染的网站; 用户必须确保所有客户端的操作系统和应用软件打上了补丁（不仅仅是操作系统）; 考虑加大投入，购买能够缓解这几种恶意威胁的技术; 对最终用户进行教育，让他们认识到不断变化的恶意软件威胁，并随时保持警惕。