核心提示

自1986年世界上出現(xiàn)第一個計算機木馬至今,20多年間,木馬已經(jīng)成為了用戶電腦安全的主要威脅,互聯(lián)網(wǎng)每天新增的木馬數(shù)量已經(jīng)近萬個。伴隨著反木馬技術(shù)的不斷發(fā)展,木馬制作者為了逃避殺毒軟件的追殺,在傳播方式、破壞方式等方面也隨之不斷創(chuàng)新。

從不具備感染性和主動傳播性的傳統(tǒng)木馬,到隱蔽性、危害性更強的感染型木馬,盡管傳統(tǒng)的木馬查殺技術(shù)已經(jīng)可以幫助用戶有效地攔截這些木馬的入侵,但近年來最新出現(xiàn)的“綁架型木馬”,尤其是2010年以來,綁架型木馬增長迅猛,幾乎占據(jù)了互聯(lián)網(wǎng)新增木馬的主流。

來自《金山安全2010木馬發(fā)展趨勢報告》則指出,無論是木馬啟動方式,還是對用戶電腦系統(tǒng)的破壞性,綁架型木馬均超出了傳統(tǒng)木馬以及感染型木馬,而且殺毒軟件對此類木馬的查殺技術(shù)也面臨著嚴(yán)峻的考驗。

綁架型木馬的“畫皮”

伴隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)安全問題也成為了廣大網(wǎng)民關(guān)注的焦點。早在2008年,黑客發(fā)現(xiàn)利用系統(tǒng)漏洞以及應(yīng)用程序的漏洞在用戶不知情的狀態(tài)下,下載木馬運行,從而通過游戲盜號、劫持主頁、刷流量等非法手段,從中獲得暴利。期間,從2008年開始到2010年,由于各大安全廠商紛紛推出防掛馬技術(shù),木馬很難輕易進(jìn)入用戶電腦,因此,網(wǎng)頁掛馬等傳播木馬的方式逐步減少。

然而,黑客為了繼續(xù)牟取經(jīng)濟利益,進(jìn)而轉(zhuǎn)向通過軟件捆綁等比較隱蔽的方式運行,同時木馬作者非常了解操作系統(tǒng)和應(yīng)用軟件運行時程序之間的相互依存關(guān)系,木馬開始越來越多破壞系統(tǒng)文件、應(yīng)用程序組件或系統(tǒng)配置,綁架型木馬也隨之出現(xiàn)了。

那么,什么是綁架型木馬?金山安全專家指出,綁架型木馬是一種新型的破壞性非常強的木馬種類。與感染型木馬不同,綁架型木馬通過“綁架”正常的系統(tǒng)文件或某個正常的應(yīng)用軟件實現(xiàn)自啟動。運行后,該類木馬會通過“綁架”用戶的方式,強行修改用戶瀏覽器主頁、強迫用戶瀏覽惡意網(wǎng)站等。

綁架型木馬最顯著的特點就是木馬啟動運行的方式發(fā)生變革,從原來的幾個、幾十個系統(tǒng)加載點,轉(zhuǎn)變?yōu)槌汕先f種。同時,綁架型木馬還可以破壞系統(tǒng)組件,殺毒軟件在簡單刪除木馬程序之后,會出現(xiàn)各種各樣的系統(tǒng)異常,而與之相關(guān)的應(yīng)用程序也無法正常運行,甚至出現(xiàn)系統(tǒng)崩潰。

可以說,綁架型木馬的出現(xiàn)是木馬制作者尋求新的盈利模式、逃避殺毒軟件追殺的必然產(chǎn)物。而如今,綁架型木馬已經(jīng)成為了木馬制作者牟取經(jīng)濟利益的主要手段。據(jù)保守估計,綁架型木馬產(chǎn)生的經(jīng)濟利益已經(jīng)超過了10億。

目前,綁架型木馬的盈利模式主要包含以下幾種:與釣魚網(wǎng)站勾結(jié),即先通過木馬“綁架”用戶,強迫用戶訪問騙子指定的釣魚網(wǎng)站;鎖定瀏覽器主頁,通過對瀏覽器主頁的鎖定,換取網(wǎng)絡(luò)流量,并通過出售網(wǎng)絡(luò)流量的方式進(jìn)行牟利;幫助某些購物網(wǎng)站進(jìn)行推廣,通過篡改桌面圖標(biāo)、修改快捷方式、篡改用戶瀏覽器收藏夾等辦法“綁架”用戶強行訪問某些購物類網(wǎng)站。

劫殺綁架型木馬“三引擎”

有鑒于傳統(tǒng)的殺毒技術(shù)在綁架型木馬面前顯得力不從心。金山安全中心結(jié)合綁架型木馬的特點,經(jīng)過近半年的研發(fā)與測試,最新推出的金山毒霸SP3版本,正式啟動了“三引擎”查殺技術(shù):可信云查殺引擎、藍(lán)芯II本地引擎、系統(tǒng)修復(fù)引擎,可以有效幫助用戶修復(fù)綁架型木馬被刪除后的各種“后遺癥”。

據(jù)悉,傳統(tǒng)的殺毒軟件通常使用單一殺毒引擎,近年來,也出現(xiàn)了雙引擎的殺毒軟件,而金山毒霸SP3版本特別結(jié)合了木馬發(fā)展趨勢的變化,增加了系統(tǒng)修復(fù)引擎。

其中,金山毒霸2011所引入的可信云查殺引擎,將用戶端和云端海量樣本庫進(jìn)行融合,安裝程序僅為20MB左右,內(nèi)存占用約19MB,體積雖輕巧,查殺準(zhǔn)確度卻更高,對新病毒的響應(yīng)在秒級完成,為用戶電腦安全提供更有效的保護。

而新一代藍(lán)芯II本地引擎,不但對未知病毒的識別能力極高,掃描病毒的速度也得到大大提升,非首次掃描速度可達(dá)1000個文件/秒。更為難得的是,金山毒霸2011對系統(tǒng)資源占用極低,即便進(jìn)行殺毒,同時操作電腦也不會“卡”。

此外,針對越來越多替換系統(tǒng)文件,修改系統(tǒng)配置的病毒,金山毒霸特別加入系統(tǒng)修復(fù)引擎,在一次快速查殺完成木馬程序文件清除的同時,將木馬破壞的系統(tǒng)文件、系統(tǒng)注冊表配置等等成功修復(fù)。用戶無需重裝即可恢復(fù)系統(tǒng)到正常狀態(tài),省去因重裝造成數(shù)據(jù)丟失的麻煩。

綁架型木馬查殺之困

隨著殺毒軟件對系統(tǒng)監(jiān)控點的防御增加,木馬運行起來后,在一些系統(tǒng)關(guān)鍵位置可能就會被殺毒軟件發(fā)現(xiàn)并查殺,系統(tǒng)常用來啟動加載程序的敏感位置也被安全軟件監(jiān)視,傳統(tǒng)木馬很難突破這些監(jiān)控。

為了能讓木馬運行起來,木馬必須先替換掉正常的系統(tǒng)文件或第三方常用軟件,借操作系統(tǒng)文件和應(yīng)用軟件的組件來存活。當(dāng)運行某些系統(tǒng)功能或需要運行某點特定的應(yīng)用時,木馬也就隨之被運行起來。

期間,綁架型木馬可以通過“綁架”正常的系統(tǒng)文件或某個正常的應(yīng)用軟件的自啟動,在這個過程中,可以被綁架型木馬利用的正常的系統(tǒng)文件或軟件不計其數(shù),防不勝防。同時,在破壞系統(tǒng)組件,簡單刪除木馬程序之后,系統(tǒng)則會出現(xiàn)各種各樣的系統(tǒng)異常,與之相關(guān)的應(yīng)用程序無法正常運行,甚至出現(xiàn)系統(tǒng)崩潰。比如游戲不能運行,提示缺少某個DLL文件,系統(tǒng)莫名的出錯很慢。

來自金山安全中心的統(tǒng)計數(shù)據(jù)顯示,2010年之前,綁架型木馬已經(jīng)出現(xiàn),但并沒有大規(guī)模爆發(fā)。進(jìn)入2010年,綁架型木馬增長迅猛,僅2010年前9個月即新增綁架型木馬943862個,占據(jù)新增木馬的84.2%。

不僅如此,由于綁架型木馬的強大破壞性,一旦用戶感染了此類木馬,傳統(tǒng)的殺毒軟件很難徹底清除,即使刪除了木馬文件,用戶的系統(tǒng)也會出現(xiàn)很多“后遺癥”。金山安全中心最新統(tǒng)計數(shù)據(jù)顯示,感染了綁架型木馬之后,用戶電腦集中表現(xiàn)為五大特征:瀏覽器首頁被篡改、桌面惡意圖標(biāo)無法刪除、桌面快捷方式被篡改、瀏覽器收藏夾異常以及部分網(wǎng)頁打不開等。

此時,基于綁架型木馬防不勝防、破壞性強、難以徹底刪除等特點,傳統(tǒng)的殺毒技術(shù)在對綁架型木馬文件進(jìn)行查殺后,經(jīng)常會出現(xiàn)各種各樣的系統(tǒng)異常,而與之相關(guān)的應(yīng)用程序也無法正常運行,甚至出現(xiàn)系統(tǒng)崩潰。

木馬出沒請注意

1.輸入法

病毒木馬偽裝成輸入法組件,或者感染輸入法組件,病毒并不在開機后立即運行,而是在用戶切換輸入法時調(diào)用,非常巧妙的避開了安全軟件對敏感加載點的防御。

2.篡改桌面圖標(biāo)

很多人并沒有留意桌面快捷方式圖標(biāo)也是病毒木馬藏身之處,被篡改后的圖標(biāo)看上去只會有一點點異常,因為并不以文件的方式存在,用戶刪除不掉的情況下,甚至逐漸接受了這些奇怪的快捷方式。

3.DirectX組件

這是游戲軟件運行時,必須依賴的公共組件。病毒并不一開機就加載,而是當(dāng)玩家玩游戲時才運行,一旦殺毒軟件刪除了病毒文件,但是玩家卻發(fā)現(xiàn)游戲玩不了了,而用戶會認(rèn)為是殺毒軟件的問題。

4.聊天工具QQ相關(guān)的依賴組件

許多人買電腦后第一個要安裝的軟件就是QQ,而破壞性木馬直接改寫QQ相關(guān)的組件,比如QQ,QQ游戲等組件。這樣,木馬在QQ的相關(guān)程序運行時才啟動,也是很巧妙的招數(shù)。簡單刪除這些破壞性木馬,用戶就會碰到QQ游戲進(jìn)不去,QQ餐廳進(jìn)不去。

5.瀏覽器相關(guān)組件

破壞性木馬會偽裝成IE插件,或者感染IE瀏覽器運行所依賴的組件,簡單刪除后,會導(dǎo)致IE內(nèi)核的瀏覽器均出現(xiàn)異常。

6.VB,VC運行庫,.net運行庫

大量應(yīng)用軟件依賴這些組件,而且每臺windows主機里都有這些組件。經(jīng)?？吹接杏脩粼儐杕fc71.dll、msvcr71.dll找不到之類的問題。

7.編寫一些vbs腳本,調(diào)用病毒dll

中毒后的電腦經(jīng)常會出現(xiàn)rundll加載出錯,runtimeerror之類的消息。

8.破壞flash相關(guān)組件

破壞性木馬損壞flash相關(guān)組件之后,會影響網(wǎng)民觀看在線視頻,QQ農(nóng)場、牧場不能登錄等等。

9.偽裝成桌面主題或桌面小工具之類的軟件欺騙安裝

表面上提供微不足道的小功能,實際上干著木馬盜號的勾當(dāng)。簡單刪除會導(dǎo)致桌面顯示異常。

10.電子商務(wù)服務(wù)

經(jīng)常在桌面生成一些電子商務(wù)網(wǎng)站有關(guān)的快捷方式,欺騙網(wǎng)民瀏覽“淘寶客”之類的網(wǎng)站。一不留神就可能掉進(jìn)釣魚網(wǎng)站的陷阱。 

【編輯推薦】

1. “綁架型”木馬泛濫金山毒霸2011 sp3首推修復(fù)引擎
2. 銀行特洛伊木馬年度回顧之Clampi木馬