世界上最危險的域名惡意網(wǎng)站圖譜1 ,由：芭芭拉·凱，國際信息系統(tǒng)安全認(rèn)證協(xié)會信息 系統(tǒng)安全認(rèn)證專業(yè)人員 ,安全設(shè)計集團(tuán)保拉·格雷夫，McAfee Labs?研究中心主任目錄

世界上最危險的域名

惡意網(wǎng)站圖譜

1

由：

芭芭拉·凱，國際信息系統(tǒng)安全認(rèn)證協(xié)會信息 系統(tǒng)安全認(rèn)證專業(yè)人員 ,安全設(shè)計集團(tuán)保拉·格雷夫，McAfee Labs?研究中心主任目錄簡介

主要發(fā)現(xiàn): 惡意網(wǎng)站圖譜 IV

為什么圖譜很重要

犯罪分子如何濫用頂級域名

方法

關(guān)于定級的一些注意事項

分級明細(xì)

變化中的安全威脅

來自頂級域名注冊商與運營商的評論

結(jié)論 346791112212326

簡介

致富之源還是僵尸網(wǎng)絡(luò)? 下次當(dāng)你搜索名人照片或“如何”提示時, 要特別注意頂級域名, 就是搜索結(jié)果中URL 的最后幾個字母。在今年的惡意網(wǎng)站圖譜研究中，邁克菲評估了2700萬個現(xiàn)存網(wǎng)站，發(fā)現(xiàn)網(wǎng)站風(fēng)險空前上升了6.2。如果用戶在點擊的時候不多加小心，簡單地瀏覽一個網(wǎng)頁都會付出大大出乎他們意料的代價。今年，有更多的網(wǎng)站出現(xiàn)惡意代碼，這些代碼能盜取密碼與個人信息，利用瀏覽器漏洞或者私自安裝程序，使電腦死機(jī)。

如果你事先知道在特定頂級域名中五分之三

的網(wǎng)站是有風(fēng)險的，你就會重新選擇一個地

址下載你想要的照片了。例如，盡管越南越

來越受到旅游者的青睞，在越南（.VN ）注

冊的網(wǎng)站卻應(yīng)該被列為禁飛區(qū)。 今年，.VN

進(jìn)入了我們最危險頂級域名的前五名，據(jù)我

們跟蹤，有58的網(wǎng)站包含惡意或潛在危險

內(nèi)容和行為。

由McAfee ? Global Threat Intelligence?提供安全威脅評測。? 其他電腦上進(jìn)行惡意行為（包括按鍵記錄程序、盜取密碼及僵尸工具包）? 漏洞插入惡意軟件。? 息或者安裝惡意代碼的虛假網(wǎng)站。? 郵件或者垃圾郵件。

? -一些帶鏈接的網(wǎng)站會連接到惡

意網(wǎng)站，還有的網(wǎng)站和其他網(wǎng)站有可疑

關(guān)系，例如非正當(dāng)主機(jī)服務(wù)。廣告軟件/間諜軟件/

木馬/病毒 帶.INFO 與.CM 頂級域名的

危險網(wǎng)站與安全網(wǎng)站數(shù)量差

不多，而帶.VN 域名的網(wǎng)站中

危險的較多。

我們是根據(jù)每個網(wǎng)站的多個特征來決定其風(fēng)險水平的。

惡意網(wǎng)站圖譜 3

惡意網(wǎng)站圖譜IV

.INFO ；去年最具風(fēng)險性的幾個網(wǎng)站有了很大改

.SG ）和委內(nèi)瑞拉（.VE ）；以及一些新被關(guān)注的地.VN ）、亞美尼亞（.AM ）和波蘭（.PL ）。 ? 31.3的加上升到2010年的 權(quán)風(fēng)險使.COM （商用—最大流量的頂級

2008年，我們發(fā)現(xiàn)域名）成為最具風(fēng)險的頂級域名。去年

的第一名.CM （喀麥?。┙衲晗陆档降谒纳ㄉ饔茫?。盡管我們在頭兩年采用了不位，而.INFO 從去年的第 五名上升到第二同的方法，走勢圖—向右向上—的趨勢似名，成為了一個更具風(fēng)險性的網(wǎng)站。五大乎一直保持。網(wǎng)站越來越難安全導(dǎo)航。風(fēng)險注冊比例最高的頂級域名分別是：

- .COM （ 商業(yè)廣告 ） 31.3

- .INFO （ 信息 ）

30.7

- .VN （越南） 29.4

- .CM （喀麥隆） 22.2

7- .AM （亞美尼亞） 12.1 6? 20個最危險的頂級域5名中，有7個來自歐洲，中東和非洲4（EMEA ）地區(qū)，包括新進(jìn)入前20榜單的亞美尼亞（.AM ）和波蘭（.PL ）。亞3太地區(qū)以6個危險頂級域名位列第二，而2通用域名，如Network （.NET ），占了前

20中的5席。唯一進(jìn)入前20的美國域名是

1United States（.US ），位于第14。0

7890000100002222

惡意網(wǎng)站圖譜

4

? 相比，通用域名與贊助域名具有最高的平均風(fēng)險。這些頂級域名以7.9的比例超出總體平均水平，而三個地區(qū)性域名的平均風(fēng)險都低于6.2。亞太地區(qū)從去年的13下降到4.9；美國平均2.7； 歐洲、中東、非洲地區(qū)僅1.9。? .SG ）從去年的第10下降到了今年的第81，成績可嘉；委內(nèi)瑞拉（.VE ）從21下降到了今年的88；菲律賓（.PH ）從2009年的第6下降至第25。 ? 站數(shù)量達(dá)到或超過2000的頂級域名。但是，如果我們對所有頂級域名進(jìn)行評估，兩個網(wǎng)站數(shù)量較少的頂級域名會進(jìn)入我們的前5名：

- 塞內(nèi)加爾（.SN ）將以33的風(fēng)險比例位居第一，原因也許是它沒有注冊限制（http://en.wikipedia.org/wiki/.sn）。 - 英屬印度洋領(lǐng)地（.IO ）將位居第五，風(fēng)險性為11.5。它之所以成為流行的頂級域名，是因為它沒有第二級注冊限制，限定可以出現(xiàn)在TLD 前的名字，因此可能被盜用：“.IO ”主要用于如eugen. io,moustach.io ，或pistacch.io 等域名分割中，也用于文件主機(jī)服務(wù)

（http://en.wikipedia.org/wiki/.io）。? 域名分別是（每個域名的危險網(wǎng)站數(shù)量都少于或等于0.1）：- .TRAVEL （旅行和旅游行業(yè)） - .EDU （教育） - .JP （日本） - .GG （格恩西） .02 .05 .08 .09 .10- .CAT （ 加泰羅尼西亞語 ） 分級是基于總體評價，而不是對單獨網(wǎng)頁進(jìn)行分級。用戶應(yīng)該知道在通常安全的域名下的單個URLs 中仍會存在風(fēng)險；例如，我們在域名為.EDU （教育）的網(wǎng)站中就找到一些危險的URL 。? 2009年最安全的頂級域名Governmental （.GOV ），今年的風(fēng)險性仍然僅為0.3，但排名下降到了第23位。我們把所有發(fā)現(xiàn)的危險網(wǎng)站都定級

為紅色。

惡意網(wǎng)站圖譜 5

為什么圖譜很重要

邁克菲帶著三個不同的目的，針對三個不同的團(tuán)體發(fā)布了惡意網(wǎng)站圖譜報告：

? 對域名注冊商和注冊社區(qū)來說，我們想在

這份報告中感謝那些為減少欺詐性注冊和

關(guān)閉惡意網(wǎng)站辛苦工作的人們；我們也希

望這份報告能鼓勵其他人向那些采用合法

手段應(yīng)對挑戰(zhàn)的領(lǐng)導(dǎo)們學(xué)習(xí)。 其中一個

回報是風(fēng)險的減少。過去，我們致力于為

注冊商提供“最惡劣罪犯”名單，通過研

究得出風(fēng)險數(shù)據(jù)。隨后，我們在他們的頂

級域名中看到危險網(wǎng)站的數(shù)量有了顯著減

少。

? 對網(wǎng)站所有者，我們希望該報告能在他們

決定其注冊地址時提供幫助。? 對消費者和企業(yè) IT 經(jīng)理，我們希望報告能像一張現(xiàn)實支票，時刻提醒他們危險遍布整個網(wǎng)絡(luò)，數(shù)量日益增多且越來越復(fù)雜，即使最有經(jīng)驗的用戶都需要使用全面、及時更新且?guī)в邪踩阉鞴δ艿牡陌踩浖?/p>

惡意網(wǎng)站圖譜 6

犯罪分子如何濫用頂級域名

頂級域名是網(wǎng)絡(luò)的組織者之一，一個網(wǎng)站的最后幾個字母代碼能告訴我們它是在哪里注冊的。也許每個人都認(rèn)識.COM 和 .GOV，但還有很多頂級域名（TLD ）對許多人來說可能很陌生，例如.AM 代表亞美尼亞，.CM 代表喀麥隆。騙子就是從無知中獲利的，而且許多消費者在搜索時從來不注意頂級域名的后綴。許多消費者都會點擊第一個看上去有意思的結(jié)果，而犯罪分子有足夠的時間為搜索引擎優(yōu)化自己的網(wǎng)站, 這樣消費者就掉入了騙子們的圈套。

訪問某些頂級域名比訪問另外的更危險。

詐騙分子和黑客常常出現(xiàn)在那些最方便進(jìn)

行交易或能利用迷惑性的拼寫和邏輯關(guān)聯(lián)

騙取利益的地方。例如，由于在.COM 地址

中很容易落下“O ”字母，不法分子就會在

Cameroon （.CM ） 注冊地址 www.mcafee.

cm ，希望能跳過那些擔(dān)心安全問題的網(wǎng)民們的視線進(jìn)行非法交易。例如，網(wǎng)站很有可能植入一個流氓反病毒程序，希望消費者認(rèn)為這是一個警告： “你電腦中有病毒，請安裝此軟件?！? 這種注冊商辛苦防范的行為被稱為“誤植域名”。誤植域名涉及各種各樣的網(wǎng)站:如從用

戶輸入錯誤中獲得廣告收入的網(wǎng)站，向你推

銷會竊取個人信息或安裝惡意軟件的成熟的

釣魚網(wǎng)站地址的停泊網(wǎng)站等等。

最危險的軟件（有時被稱為“路過式軟

件”）是用戶看不見的，用戶不必點擊或有

意識地接受下載就有可能被感染或攻擊。大

多數(shù)惡意軟件和攻擊都盡力不被監(jiān)測到。消

費者可能數(shù)天或數(shù)周后仍未發(fā)現(xiàn)問題，而這

時候犯罪分子已經(jīng)清空了其銀行賬戶，盜取

了其在線游戲賬戶，傳染網(wǎng)絡(luò)“好友”，或

者為僵尸程序略過中央處理機(jī)周期。

同樣地，普通用戶并不知道 .COM 網(wǎng)站的主

機(jī)到底是在美國還是在中國。除非他們使用

評級咨詢工具，否則訪問者需要做一點額外

研究來決定一個網(wǎng)址適不適合訪問。.VN 代

表的是越南還是委內(nèi)瑞拉？ 答案能使訪問的

風(fēng)險度有很大差別。

惡意網(wǎng)站圖譜 7

當(dāng)好人在努力改善網(wǎng)絡(luò)治安和注冊監(jiān)管1時，

犯罪分子正對靈活的軟件與基礎(chǔ)結(jié)構(gòu)（見僵

尸工具欄）進(jìn)行投資。在鎖定一個頂級域名

后，他們會很快將他們的網(wǎng)站入口轉(zhuǎn)移到包

容性更強、更靈活的主頁，而不需要重新定

位服務(wù)器或者更改內(nèi)容。頂級域名僅僅告訴我們網(wǎng)站是在哪里注冊的。網(wǎng)站本身，包括其內(nèi)容、服務(wù)器和主人可以在另外的地方?，F(xiàn)在有種趨勢是，犯罪分子把惡意內(nèi)容放在免費的消費者文件分享服務(wù)中，然后在需要的時候?qū)?nèi)容提供給頂級域名。由于存儲在

BitT orrent 、YouTube 、RapidShare 等服務(wù)中的

文件時常改變，因此管理該內(nèi)容很困難。

影響犯罪分子選擇頂級域名的因素有：

?

便宜的注冊，批量折扣以及慷慨的返還政

策。

? 問問題”的注冊。騙子需要提供的信息越

少越好。同樣地，騙子喜歡行動緩慢的注

冊商，如果可以的話，甚至不要注意到危

險域名。

? 注冊。尤其對于釣魚者與垃圾郵件發(fā)送

者，因為他們特別需要大容量的網(wǎng)站來抵

消頂級域名管理者的快速記錄。提防僵尸僵尸能夠毀壞家用電腦與商用電腦。犯罪份子與其一起進(jìn)行不同的攻擊：垃圾郵件、釣魚及盜取數(shù)據(jù)。僵尸網(wǎng)絡(luò)是傳播僵尸行為的組織，幫助僵尸程序所有者逃避雷達(dá)監(jiān)視，避免被監(jiān)視與管制，如被互聯(lián)網(wǎng)服務(wù)提供商人員記錄。他們以微不足道的費用為網(wǎng)絡(luò)罪行獲得商務(wù)級別的基礎(chǔ)結(jié)構(gòu)。除了廉價的運作費用，僵尸網(wǎng)絡(luò)還幫助保護(hù)僵尸程序管理者的匿名

性。這一戰(zhàn)略的成功也許可以解釋McColo 記錄的不同影響，2008年涌入大量垃圾郵件，2而2010年3月的宙斯僵尸網(wǎng)絡(luò)記錄僅持續(xù)了幾個小時。3

1

邁克菲2010威脅預(yù)言，第9頁，可登陸http://www.mcafee.com/us/threat_center/white_paper.html, 提供多種語言下載

2

3

方法

今年我們用了同樣的方法。和去年的報告一樣， 此報告使用了邁克菲 全球安全智能數(shù)據(jù)庫，其中的數(shù)據(jù)來自120多個國家的超過1.5億個傳感器。這些傳感器包括個人電腦、網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備、端點軟件、云中托管服務(wù)，分別來自個人用戶、中小型企業(yè)、企業(yè)用戶、教育機(jī)構(gòu)和政府機(jī)構(gòu)。

我們的方法是通過分析網(wǎng)絡(luò)流量模式、網(wǎng)站? 行為、主機(jī)內(nèi)容及連接來定義風(fēng)險級別。我跟蹤任何郵件的容量并判斷其是否是垃圾們評估單個網(wǎng)站，是看它是否存在惡意或危郵件。垃圾郵件是指含商業(yè)內(nèi)容的郵件，險內(nèi)容及行為，也分析所謂的網(wǎng)站環(huán)境—該并采用欺騙垃圾郵件過濾軟件的手段。網(wǎng)站是怎樣注冊、推薦、使用及評估的。除此之外，邁克菲全球安全中心整合了來自? 其他病毒載體的現(xiàn)有信息，包括電子郵件流及彈出廣告。瀏覽器攻擊（也稱“路過式量、網(wǎng)絡(luò)入侵流量、 惡意軟件分析，得出了下載”）可使消費者的電腦在沒有經(jīng)過同一個網(wǎng)站的綜合聲譽評分。

意甚至不知情的情況下被安裝上病毒、按

鍵記錄程序或間諜軟件。我們還檢查網(wǎng)站

的外部鏈接, 看它們是否會引導(dǎo)訪問者去其

他被邁克菲定級為具有風(fēng)險的網(wǎng)站。

? 者其他潛在有害程序。邁克菲不測試由

點對點 （P2P ）、BT 種子分享程序或者像

iTunes 、Rhapsody 等內(nèi)容平臺提供的單獨

文件。我們測試許多免費軟件及共享軟件

網(wǎng)站的文件，如RapidShare ；我們也測試

點對點及BT 種子客戶端軟件。用于免費

文件分享的相同服務(wù)也能幫助傳播惡意軟

件。

惡意網(wǎng)站圖譜 9

我們將那些包含惡意代碼（例如木馬、病毒

及間諜軟件）或和危險文件、電子郵件、主

頁和網(wǎng)絡(luò)相關(guān)聯(lián)的瀏覽器漏洞的網(wǎng)站定級為

紅色。將黃色等級給那些在使用前給用戶警

告的網(wǎng)站，它們之所以被視為危險，通常是

由于垃圾郵件、彈出廣告或者與危險網(wǎng)站的

鏈接。幾乎所有的頂級域名都包含被定為紅色及黃色的網(wǎng)站。為了隱藏他們的活動, 罪犯每年都要開發(fā)更復(fù)

雜、更新穎的技術(shù)。例如今年，惡意僵尸網(wǎng)

站的類別又有了大幅增加，我們分析的其中

一類包括病毒、木馬及僵尸網(wǎng)絡(luò)。

不過，犯罪分子變狡猾了，我們也變得更聰

明。邁克菲有400多名研究人員致力于威脅

分析。這一全球團(tuán)隊不斷研發(fā)新的方法探測

網(wǎng)絡(luò)變化，分析來自這些傳感器的數(shù)據(jù)，發(fā)

現(xiàn)表現(xiàn)出風(fēng)險的行為和特征。每一次新的發(fā)

現(xiàn)都會返回我們的全球安全智能中心做更

精確的分析。因此，雖然我們采用的方法

和過去相同，我們卻一直在持續(xù)改進(jìn)我們的

技術(shù), 以便對用戶面臨的真正風(fēng)險做出準(zhǔn)確的評價。

像以前一樣，我們只對至少有2000個網(wǎng)站

被跟蹤的頂級域名做分析。這份報告包括了

我們跟蹤的271個頂級域名中的106個，比

2009年增加了2個。

我們的報告僅包括活躍域，即那些在調(diào)查時

仍活躍的域名： 27,304,797個。這個實時數(shù)

據(jù)是對我們獲取數(shù)據(jù)當(dāng)天頂級域名系統(tǒng)的狀

態(tài)的客觀寫照。 風(fēng)險變異是很自然的事，就像一項調(diào)查一周后會顯示不同的結(jié)果。

我們不對該項研究定時或使用多個樣本獲得平均結(jié)果。此外，我們不宣布時間。通過采用隨機(jī)、非預(yù)定的樣本，我們可以確保整個過程都非常嚴(yán)格、正式。和去年的報告一樣，風(fēng)險定級為加權(quán)值： 50的分級產(chǎn)生于一個頂級域名的危險網(wǎng)站占全部網(wǎng)站的比重，還有50來自于頂級域名的危險網(wǎng)站占所有危險網(wǎng)站的比重。我們認(rèn)為這種分級方法可以反映一個典型用戶訪問整個網(wǎng)絡(luò)時的風(fēng)險水平。也就是說，我們相信，如果一個用戶知道整個網(wǎng)絡(luò)50的危險網(wǎng)站都屬于某個頂級域名，他/她一定不會再訪問域名，即使那些危險網(wǎng)站僅占這個頂級域名所有網(wǎng)站的1。10,000個網(wǎng)站，其中100個是危險網(wǎng)站，而所有頂級域名下一共有200個危險網(wǎng)站，前面提到的這個頂級域名就占了100個 [（50*100/10,000） （50*100/200）= 25.5]，它比起一個有100個網(wǎng)站，其中10個有風(fēng)險的域名所占的風(fēng)險大要得多 [（50*（10/100） （50*（10/200）=7.5]。這一方法意味著在少數(shù)例子中，比起一個總網(wǎng)站數(shù)少但危險網(wǎng)站比例高的頂級域名，一個具有很多危險網(wǎng)站（但由于這個域名下的網(wǎng)站總數(shù)較多，導(dǎo)致危險網(wǎng)站比例下降）的頂級域名風(fēng)險等級會更高。1550萬.COM （商用）域名下6.1的網(wǎng)站是危險的，低于我們的總體平均水平 6.2。然而，當(dāng)我們根據(jù)全世界危險網(wǎng)站總數(shù)來衡量.COM 的風(fēng)險時，它的比重就上升到了31.3，成為了最危險的頂級域名。相比之下，我們評估的24,988個.VN （越南）域名的網(wǎng)站有58是危險的，但它在全球危險網(wǎng)站總數(shù)中所占份額卻僅為29.4，位于.COM 之后。

惡意網(wǎng)站圖譜 10