为避"追杀" 挂马集团借搜索引擎挂马"行凶"

金山云安全中央监控发现，近日网站挂马成上升趋势，良多大站纷纷成为黑客挂马重点，IT168、PChome、硅谷动力游戏玩家论坛等大站纷纷中招。

与以往被挂马不同，挂马团体的手段更加隐蔽，用户只有通过google，baidu，soso，sogou等搜索引擎，搜索被挂马的站点，并点击进入，恶意代码才会执行。

从金山云安全中央截获的挂马的恶意脚本来看，反病毒专家发现恶意脚本中都会带有百度、谷歌、搜狗、搜搜的地址。只有在用户通过google，baidu，soso，sogou搜索某被挂马的站点（如搜索“摩托罗拉it168”）时切身点击进入，恶意挂马才会执行。

而用户直接登录这些被挂马的网站时，恶意代码不起效。但只要是通过搜索引擎访问，恶意代码即生效。

金山反病毒中央分析以为，挂马团伙这样做很大程度上可能是为了避免目前杀毒软件的服务端检测，这是挂马团伙为了逃避杀毒软件的拦截想出曲线挂马的新办法，通过在正常网页中植入恶意代码或地址，在网页上可见的表现形式如文字、图片，不可见的如网页背景设置、网页统计等，其隐蔽性甚至导致一些依靠于服务端检测站点的安全公司原有用来拦截恶意域名的安全软件失效。(文/张建新)