仿站

近日国家互联网应急中心（CNERT）发布一则《关于部分境内网站存在Ramnit恶意代码攻击的有关情况通报》的通报，根据通报内容，一段名为“Ramnit”的网页恶意代码被挂载在境内近600个党政机关、企事业单位网站上，当用户访问被挂马网站时很有可能遭到病毒攻击，对用户的电脑构成安全威胁。

根据通报，Ramnit恶意代码是一个典型的VBScript蠕虫病毒，能够通过网页挂马的方式进行传播，用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染。下图为Ramnit代码在页面中驻留的代码片断。

图1. HTML页面的Ramnit恶意代码片断(来源：Fireeye)

Ramnit 主要在用户%TEMP%文件夹（这个文件夹一般不会让你看到，不用问在哪里）中植入一个名为“svchost.exe”的二进制文件并执行关联的 ActiveX控件，受感染的用户主机会试图连接到与Ramnit相关的一个木马控制服务器——fget-career.com。如下图所示：

图2 . svchost.exe被植入(来源：Fireeye)

根 据目前的分析情况，Chrome（谷歌浏览器）和Firefox（火狐）浏览器用户不会受到恶意代码的影响，而较高版本的IE浏览器会对此类 ActiveX控件提出警告并不自动执行。而低版本的IE浏览器用户或者进行了不安全配置（比如：设置信任不明来源的ActiveX控件）的IE用户容易 受到恶意代码的威胁。

根据CNCERT 2015年11月至2016年3月间的巡检结果，境内大约有1250台境内WEB服务器被挂载过Ramnit恶意代码，被入侵的服务器主要类型为IIS（占比69.3%），这类服务器ASP做的网站较多，其次是Apache服务器（占比19.2%）。

对于此，建议用户：

1、IE浏览器用户设置一下安全设置（建议设置为中-高安全级别），是否执行来源不明的ActiveX控件由我们做出选择，或者禁止执行来源不明的ActiveX控件。

2、舍弃旧版本的IE浏览器，使用谷歌浏览器、火狐浏览器、QQ浏览器或者360安全浏览器常用等，都比低版本的IE强。

3、升级电脑安全管家，安装最新的腾讯电脑管家或者360安全卫士，经常杀毒清理垃圾。

建议党政机关、企事业单位升级网站，IDC服务商升级服务器、强化服务器。如需网站建设（选择Apache服务器+PHP开发语言）、网站升级可联系我们，如有其它相关问题咨询也可联系我们。