针对上半年最流行的“极风”安全漏洞，监测平台在不同时间点也采集到了针对同一漏洞但形态不同的网页木马，从中我们也可以看出网页木马渗透代码随时间不断演变的趋势。在2010年3月11日“极风”漏洞还处于0day阶段时，我们的监测平台发现了第一个攻击该漏洞的网页木马渗透代码，而第一个版本非常简单易懂，并没有引入任何的混淆机制。而在3月22日我们发现了第一个变种，代码如下所示：

　　<script src="pack.css"></script> ...
　　var sss = Array(472,388,456,128,...,164,236);
　　var arr = new Array;
　　for (var i = 0; i < sss.length; i ++ ){ arr[i] = String.fromCharCode(sss[i]/4); } ...

　　该变种只是在Heapspray过程中采用了混淆机制，将shellcode隐藏至SCRIPT外链的一个伪装CSS文件中，并通过字符串的编码操作对实施Heapspray的代码进行了混淆。

　　而在此之后，我们进一步发现了另外5种针对“极风”漏洞攻击的网页木马，这些变种主要在如下两方面进行了增强：

　　引入了更强的混淆机制：网页木马渗透代码引入了更多的混淆机制以对抗检测与分析。混淆技术从简单的字符串操作、escape函数编码，到复杂的自动化加密工具。如我们在一个较新的“极风”网马中发现了“Encrypt By Dadong’s JSXX 0.31 VIP”的注释，显然这使用了一个专门开发的加密工具，该加密工具能够绕过Freshow等已有网马辅助分析工具的解密能力。

　　攻击优化：优化渗透攻击代码以获得更高的攻击成功率。一些“极风”网马变种尝试多次攻击，并针对客户端浏览器的不同版本装载和运行不同的渗透攻击代码。

　　北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网体检中心合作开展对教育网中的网站挂马情况进行全网检测和态势分析，并为中国教育网体检中心(www.nhcc.edu.cn)注册的高校网站用户提供网站挂马定点监测服务(ercis.icst.pku.edu.cn)。通过2010年上半年教育网挂马监测数据结果分析，425个顶级域名的1,347个网站被挂马，上半年网站挂马率达到3.88%，这说明教育网网站的安全状况仍不容乐观。希望高校网络安全管理部门和人员能够充分重视，对相关网站进行全面检测和安全加固，积极预防，尽量避免网站挂马等安全事件的发生。

(文章来源：《中国教育网络》杂志2010年9月刊  北京大学网络与信息安全实验室，中国教育和科研网紧急响应组和中国教育网体检中心供稿）