上周末在意大利，利用装载了恶意代码的合法网页来植入按键记录器从而窃取用户密码，或者将计算机引向代理服务器进行其他攻击的恶意感染事件有扩大趋势。趋势科技数据表明全球有数万名用户访问了受害URL，且忽略了正常网上冲浪时应注意的安全措施。最初的HTML恶件利用一个名为"iFrames"的漏洞。"iFrames"常用于网站且经常被利用。趋势科技研究者认为这最初可能是一个自发攻击，是由一个计算机特洛伊制造工具包引发的。

　　在受影响的浏览器上，IP网页会被重新定向，这时，恶件工具包统计页面就会显示出有多少用户在访问合法意大利语网站时，被重新定向至能够启动下载链的主机。目前，趋势科技尚未接到来自中国国内的病毒报告。趋势科技MOC中心正对该恶意攻击进行严密监控，一旦发现问题将及时交与中国区病毒实验室（China Trendlab）进行分析。

　　趋势科技中国区病毒工程师张志徐说，在最近的一两年之内在中国国内就有恶意攻击者利用BBS或者网站的漏洞，手动植入网页的重定向代码。而导致用户访问此合法站点时被从定向到恶意攻击者自行架设的站点，下载恶意执行程序，而导致用户的信息被窃取或网络瘫痪等损失。趋势科技专家提醒广大中国区用户，从这次意大利爆发的恶意感染事件发现，如今的恶意代码植入手法已经从手动发展到了自动，以致顷刻间导致数千个网站被攻击。在Web威胁越来越猖獗的今天，用户应该加强对网页的安全访问意识。

　　因为这种恶意攻击是透过HTTP入侵，因此建议企业用户建置HTTP网关防毒系统(IWSA/IGSA)，可以启动拦截可执行文件的功能以及URL过滤功能。非趋势科技产品的用户，亦可下载趋势科技PC-cillin2007对此病毒进行查杀，PC-cillin特有的URL过滤技术可彻底清除此病毒：http://www.trendmicro.com/download/zh-cn/product.asp?productid=32

　　本次感染的传播机制是一个复杂过程，但是需要取决于网站所有者是否意识到被侵害，以及网站使用者是否了解即使在合法网站上冲浪也会被感染。下面是感染的具体过程：

　　1) 受损害或受攻击的第一级URL是合法网站。这些网站大多数都是合法的意大利语网站，刊登有当地的旅游、宾馆、汽车服务、音乐、乐透等广告。

　　2) 这些网站被攻击后，恶意IP地址 (HTML_IFRAME.CU)被嵌入到合法网站的HTML代码中，这样用户就会被转向至另一个带有Javascript下载程序 (JS_DLOADER.NTI)的网站。这时受损害的是第二级和第三级URL，趋势科技可以封堵这些下载程序。

　　3) 第三级URL会从第四级的URL处下载一个特洛伊至目标系统。这就是TROJ_SMALL.HCK的URL，它同样也会被趋势科技封堵。

　　4) 特洛伊会从两个不同的五级URL再下载另外两个特洛伊，分别是TROJ_AGENT.UHL和TROJ_PAKES.NC，这两个特洛伊都能够被趋势科技检测和封堵。

　　5) 这时，特洛伊PAKES 会从第六级URL下载一个窃取器——特洛伊SINOWAL的变种。