核心提示

自1986年世界上出現第一個計算機木馬至今,20多年間,木馬已經成為了用戶電腦安全的主要威脅,互聯網每天新增的木馬數量已經近萬個。伴隨著反木馬技術的不斷發展,木馬制作者為了逃避殺毒軟件的追殺,在傳播方式、破壞方式等方面也隨之不斷創新。

從不具備感染性和主動傳播性的傳統木馬,到隱蔽性、危害性更強的感染型木馬,盡管傳統的木馬查殺技術已經可以幫助用戶有效地攔截這些木馬的入侵,但近年來最新出現的“綁架型木馬”,尤其是2010年以來,綁架型木馬增長迅猛,幾乎占據了互聯網新增木馬的主流。

來自《金山安全2010木馬發展趨勢報告》則指出,無論是木馬啟動方式,還是對用戶電腦系統的破壞性,綁架型木馬均超出了傳統木馬以及感染型木馬,而且殺毒軟件對此類木馬的查殺技術也面臨著嚴峻的考驗。

綁架型木馬的“畫皮”

伴隨著互聯網的普及,網絡安全問題也成為了廣大網民關注的焦點。早在2008年,黑客發現利用系統漏洞以及應用程序的漏洞在用戶不知情的狀態下,下載木馬運行,從而通過游戲盜號、劫持主頁、刷流量等非法手段,從中獲得暴利。期間,從2008年開始到2010年,由于各大安全廠商紛紛推出防掛馬技術,木馬很難輕易進入用戶電腦,因此,網頁掛馬等傳播木馬的方式逐步減少。

然而,黑客為了繼續牟取經濟利益,進而轉向通過軟件捆綁等比較隱蔽的方式運行,同時木馬作者非常了解操作系統和應用軟件運行時程序之間的相互依存關系,木馬開始越來越多破壞系統文件、應用程序組件或系統配置,綁架型木馬也隨之出現了。

那么,什么是綁架型木馬?金山安全專家指出,綁架型木馬是一種新型的破壞性非常強的木馬種類。與感染型木馬不同,綁架型木馬通過“綁架”正常的系統文件或某個正常的應用軟件實現自啟動。運行后,該類木馬會通過“綁架”用戶的方式,強行修改用戶瀏覽器主頁、強迫用戶瀏覽惡意網站等。

綁架型木馬最顯著的特點就是木馬啟動運行的方式發生變革,從原來的幾個、幾十個系統加載點,轉變為成千上萬種。同時,綁架型木馬還可以破壞系統組件,殺毒軟件在簡單刪除木馬程序之后,會出現各種各樣的系統異常,而與之相關的應用程序也無法正常運行,甚至出現系統崩潰。

可以說,綁架型木馬的出現是木馬制作者尋求新的盈利模式、逃避殺毒軟件追殺的必然產物。而如今,綁架型木馬已經成為了木馬制作者牟取經濟利益的主要手段。據保守估計,綁架型木馬產生的經濟利益已經超過了10億。

目前,綁架型木馬的盈利模式主要包含以下幾種:與釣魚網站勾結,即先通過木馬“綁架”用戶,強迫用戶訪問騙子指定的釣魚網站;鎖定瀏覽器主頁,通過對瀏覽器主頁的鎖定,換取網絡流量,并通過出售網絡流量的方式進行牟利;幫助某些購物網站進行推廣,通過篡改桌面圖標、修改快捷方式、篡改用戶瀏覽器收藏夾等辦法“綁架”用戶強行訪問某些購物類網站。

劫殺綁架型木馬“三引擎”

有鑒于傳統的殺毒技術在綁架型木馬面前顯得力不從心。金山安全中心結合綁架型木馬的特點,經過近半年的研發與測試,最新推出的金山毒霸SP3版本,正式啟動了“三引擎”查殺技術:可信云查殺引擎、藍芯II本地引擎、系統修復引擎,可以有效幫助用戶修復綁架型木馬被刪除后的各種“后遺癥”。

據悉,傳統的殺毒軟件通常使用單一殺毒引擎,近年來,也出現了雙引擎的殺毒軟件,而金山毒霸SP3版本特別結合了木馬發展趨勢的變化,增加了系統修復引擎。

其中,金山毒霸2011所引入的可信云查殺引擎,將用戶端和云端海量樣本庫進行融合,安裝程序僅為20MB左右,內存占用約19MB,體積雖輕巧,查殺準確度卻更高,對新病毒的響應在秒級完成,為用戶電腦安全提供更有效的保護。

而新一代藍芯II本地引擎,不但對未知病毒的識別能力極高,掃描病毒的速度也得到大大提升,非首次掃描速度可達1000個文件/秒。更為難得的是,金山毒霸2011對系統資源占用極低,即便進行殺毒,同時操作電腦也不會“卡”。

此外,針對越來越多替換系統文件,修改系統配置的病毒,金山毒霸特別加入系統修復引擎,在一次快速查殺完成木馬程序文件清除的同時,將木馬破壞的系統文件、系統注冊表配置等等成功修復。用戶無需重裝即可恢復系統到正常狀態,省去因重裝造成數據丟失的麻煩。

綁架型木馬查殺之困

隨著殺毒軟件對系統監控點的防御增加,木馬運行起來后,在一些系統關鍵位置可能就會被殺毒軟件發現并查殺,系統常用來啟動加載程序的敏感位置也被安全軟件監視,傳統木馬很難突破這些監控。

為了能讓木馬運行起來,木馬必須先替換掉正常的系統文件或第三方常用軟件,借操作系統文件和應用軟件的組件來存活。當運行某些系統功能或需要運行某點特定的應用時,木馬也就隨之被運行起來。

期間,綁架型木馬可以通過“綁架”正常的系統文件或某個正常的應用軟件的自啟動,在這個過程中,可以被綁架型木馬利用的正常的系統文件或軟件不計其數,防不勝防。同時,在破壞系統組件,簡單刪除木馬程序之后,系統則會出現各種各樣的系統異常,與之相關的應用程序無法正常運行,甚至出現系統崩潰。比如游戲不能運行,提示缺少某個DLL文件,系統莫名的出錯很慢。

來自金山安全中心的統計數據顯示,2010年之前,綁架型木馬已經出現,但并沒有大規模爆發。進入2010年,綁架型木馬增長迅猛,僅2010年前9個月即新增綁架型木馬943862個,占據新增木馬的84.2%。

不僅如此,由于綁架型木馬的強大破壞性,一旦用戶感染了此類木馬,傳統的殺毒軟件很難徹底清除,即使刪除了木馬文件,用戶的系統也會出現很多“后遺癥”。金山安全中心最新統計數據顯示,感染了綁架型木馬之后,用戶電腦集中表現為五大特征:瀏覽器首頁被篡改、桌面惡意圖標無法刪除、桌面快捷方式被篡改、瀏覽器收藏夾異常以及部分網頁打不開等。

此時,基于綁架型木馬防不勝防、破壞性強、難以徹底刪除等特點,傳統的殺毒技術在對綁架型木馬文件進行查殺后,經常會出現各種各樣的系統異常,而與之相關的應用程序也無法正常運行,甚至出現系統崩潰。

木馬出沒請注意

1.輸入法

病毒木馬偽裝成輸入法組件,或者感染輸入法組件,病毒并不在開機后立即運行,而是在用戶切換輸入法時調用,非常巧妙的避開了安全軟件對敏感加載點的防御。

2.篡改桌面圖標

很多人并沒有留意桌面快捷方式圖標也是病毒木馬藏身之處,被篡改后的圖標看上去只會有一點點異常,因為并不以文件的方式存在,用戶刪除不掉的情況下,甚至逐漸接受了這些奇怪的快捷方式。

3.DirectX組件

這是游戲軟件運行時,必須依賴的公共組件。病毒并不一開機就加載,而是當玩家玩游戲時才運行,一旦殺毒軟件刪除了病毒文件,但是玩家卻發現游戲玩不了了,而用戶會認為是殺毒軟件的問題。

4.聊天工具QQ相關的依賴組件

許多人買電腦后第一個要安裝的軟件就是QQ,而破壞性木馬直接改寫QQ相關的組件,比如QQ,QQ游戲等組件。這樣,木馬在QQ的相關程序運行時才啟動,也是很巧妙的招數。簡單刪除這些破壞性木馬,用戶就會碰到QQ游戲進不去,QQ餐廳進不去。

5.瀏覽器相關組件

破壞性木馬會偽裝成IE插件,或者感染IE瀏覽器運行所依賴的組件,簡單刪除后,會導致IE內核的瀏覽器均出現異常。

6.VB,VC運行庫,.net運行庫

大量應用軟件依賴這些組件,而且每臺windows主機里都有這些組件。經?？吹接杏脩粼儐杕fc71.dll、msvcr71.dll找不到之類的問題。

7.編寫一些vbs腳本,調用病毒dll

中毒后的電腦經常會出現rundll加載出錯,runtimeerror之類的消息。

8.破壞flash相關組件

破壞性木馬損壞flash相關組件之后,會影響網民觀看在線視頻,QQ農場、牧場不能登錄等等。

9.偽裝成桌面主題或桌面小工具之類的軟件欺騙安裝

表面上提供微不足道的小功能,實際上干著木馬盜號的勾當。簡單刪除會導致桌面顯示異常。

10.電子商務服務

經常在桌面生成一些電子商務網站有關的快捷方式,欺騙網民瀏覽“淘寶客”之類的網站。一不留神就可能掉進釣魚網站的陷阱。 

【編輯推薦】

1. “綁架型”木馬泛濫金山毒霸2011 sp3首推修復引擎
2. 銀行特洛伊木馬年度回顧之Clampi木馬