基本概念
綁架型木馬是一種新型的破壞性非常強的木馬種類。與感染型木馬不同,綁架型木馬通過“綁架”正常的系統檔案或某個正常的套用軟體實現自啟動。運行後,該類木馬會通過“綁架”用戶的方式,強行修改用戶瀏覽器主頁、強迫用戶瀏覽惡意網站等。同時,綁架型木馬還可以破壞系統組件,防毒軟體在簡單刪除木馬程式之後,會出現各種各樣的系統異常,而與之相關的應用程式也無法正常運行,甚至出現系統崩潰。出現背景
綁架型木馬的出現是木馬製作者尋求新的盈利模式、逃避防毒軟體追殺的必然產物。1、木馬“盈利模式”的變革催生破壞型木馬的誕生
2008年,黑客發現利用系統漏洞以及應用程式的漏洞在用戶不知情的狀態下,下載木馬運行,從而通過遊戲盜號、劫持主頁、刷流量等非法手段,從中獲得暴利。從2008年開始到2010年,各大安全廠商紛紛推出防掛馬技術,木馬很難輕易進入用戶電腦,因此,網頁掛馬等傳播木馬的方式逐步減少。
黑客為了繼續牟取經濟利益,進而轉向通過軟體捆綁等比較隱蔽的方式運行,同時木馬作者非常了解作業系統和套用軟體運行時程式之間的相互依存關係,木馬開始越來越多的破壞系統檔案、應用程式組件或系統配置,也就是我們所說的綁架型木馬出現了。綁架型木馬最顯著的特點就是木馬啟動運行的方式發生變革,從原來的幾個、幾十個系統載入點,轉變為成千上萬種。
2、現有的木馬查殺技術已經讓傳統木馬無法生存
隨著防毒軟體對系統監控點的防禦增加,木馬運行起來後,在一些系統關鍵位置可能就會被防毒軟體發現並查殺,系統常用來啟動載入程式的敏感位置也被安全軟體監視,傳統木馬很難突破這些監控。
為了能讓木馬運行起來,木馬必須先替換掉正常的系統檔案或第三方常用軟體,借作業系統檔案和套用軟體的組件來存活。當運行某些系統功能或需要運行某點特定的套用時,木馬也就隨之被運行起來。
背後的經濟利益
綁架型木馬已經成為了木馬製作者牟取經濟利益的主要手段。據保守估計,綁架型木馬產生的經濟利益已經超過了10億。綁架型木馬的盈利模式主要包含以下幾種:1、與釣魚網站勾結。先通過木馬“綁架”用戶,強迫用戶訪問騙子指定的釣魚網站;
2、鎖定瀏覽器主頁。通過對瀏覽器主頁的鎖定,換取網路流量,並通過出售網路流量的方式進行牟利;
3、幫助某些購物網站進行推廣。通過篡改桌面圖示、修改捷徑、篡改用戶瀏覽器收藏夾等辦法“綁架”用戶強行訪問某些購物類網站。
特點
防不勝防、破壞性強、難以徹底刪除1、綁架型木馬可以通過“綁架”正常的系統檔案或某個正常的套用軟體的方啟動,在這個過程中,可以被綁架型木馬利用的正常的系統檔案或軟體不計其數,防不勝防。
2、破壞系統組件,簡單刪除木馬程式之後,會出現各種各樣的系統異常,與之相關的應用程式無法正常運行,甚至出現系統崩潰。比如遊戲不能運行,提示缺少某個DLL檔案,系統莫名的出錯很慢。
數量變化
2010年之前,綁架型木馬已經出現,但並沒有大規模爆發。進入2010年 ,綁架型木馬增長迅猛,僅2010年前9個月即新增綁架型木馬943862個,占據新增木馬的84.2%。感染後用戶電腦特徵
因為綁架型木馬的強大破壞性,一旦用戶感染了此類木馬,傳統的防毒軟體很難徹底清除,即使刪除了木馬檔案,用戶的系統也會出現很多“後遺症”。金山安全中心最新統計數據顯示,感染了綁架型木馬之後,用戶電腦集中表現為五大特徵:瀏覽器首頁被篡改、桌面惡意圖示無法刪除、桌面捷徑被篡改、瀏覽器收藏夾異常以及部分網頁打不開等。防護
基於綁架型木馬防不勝防、破壞性強、難以徹底刪除等特點,傳統的防毒技術在對綁架型木馬檔案進行查殺後,經常會出現各種各樣的系統異常,而與之相關的應用程式也無法正常運行,甚至出現系統崩潰。傳統的防毒技術在綁架型木馬面前顯得力不從心。金山安全中心結合綁架型木馬的特點,經過近半年的研發與測試,最新推出的金山毒霸SP3版本,正式啟動了“三引擎”查殺技術:可信雲查殺引擎、藍芯II本地引擎、系統修復引擎,有效幫助用戶修復了綁架型木馬被刪除後的各種“後遺症”。
傳統的防毒軟體通常使用單一防毒引擎,近年來,也出現了雙引擎的防毒軟體,而金山毒霸SP3版本特別結合了木馬發展趨勢的變化,增加了系統修復引擎。
可信雲查殺引擎
金山毒霸2011引入可信雲查殺超前理念,將用戶端和雲端海量樣本庫完美融合,安裝程式僅為20MB左右,記憶體占用約19MB,體積雖輕巧,查殺準確度卻更高,對新病毒的回響在秒級完成,為用戶電腦安全提供更有效的保護。
藍芯II本地引擎
金山毒霸2011採用新一代藍芯II本地引擎,不但對未知病毒的識別能力極高,掃描病毒的速度也得到大大提升,非首次掃描速度可達1000個檔案/秒。更為難得的是,金山毒霸2011對系統資源占用極低,即便進行防毒,同時操作電腦也不會“卡”。
系統修復引擎
針對越來越多替換系統檔案,修改系統配置的病毒,金山毒霸特別加入系統修復引擎,在一次快速查殺完成木馬程式檔案清除的同時,將木馬破壞的系統檔案、系統註冊表配置等等成功修復。用戶無需重裝即可恢復系統到正常狀態,省去因重裝造成數據丟失的麻煩。
最喜歡攻擊的系統套用
1、輸入法
病毒木馬偽裝成輸入法組件,或者感染輸入法組件,病毒並不在開機後立即運行,而是在用戶切換輸入法時調用,非常巧妙的避開了安全軟體對敏感載入點的防禦。
2、篡改桌面圖示
很多人並沒有留意桌面捷徑圖示也是病毒木馬藏身之處,被篡改後的圖示看上去只會有一點點異常,因為並不以檔案的方式存在,用戶刪除不掉的情況下,甚至逐漸接受了這些奇怪的捷徑。
3、DirectX組件
這是遊戲軟體運行時,必須依賴的公共組件。病毒並不一開機就載入,而是當玩家玩兒遊戲時才運行,一旦防毒軟體刪除了病毒檔案,但是玩家卻發現遊戲玩兒不了了,而用戶會認為是防毒軟體的問題。
4、聊天工具QQ相關的依賴組件
許多人買電腦後第一個要安裝的軟體就是QQ,而破壞性木馬直接改寫QQ相關的組件,比如QQ,QQ遊戲等組件。這樣,木馬在QQ的相關程式運行時才啟動,也是很巧妙的招數。簡單刪除這些破壞性木馬,用戶就會出現QQ遊戲進不去,QQ餐廳進不去。
5、瀏覽器相關組件
破壞性木馬會偽裝成IE外掛程式,或者感染IE瀏覽器運行所依賴的組件,簡單刪除後,會導致IE核心的瀏覽器均出現異常。
6、VB,VC運行庫,.net運行庫
大量套用軟體依賴這些組件,而且每台windows主機里都有這些組件。經常看到有用戶詢問mfc71.dll、msvcr71.dll找不到之類的問題。
7、編寫一些vbs腳本,調用病毒dll
中毒後的電腦經常會出現rundll載入出錯,runtimeerror之類的訊息。
8、破壞flash相關組件
破壞性木馬損壞flash相關組件之後,會影響網民觀看線上視頻,QQ農場、牧場不能登錄等等。
9、偽裝成桌面主題或桌面小工具之類的軟體欺騙安裝
表面上提供微不足道的小功能,實際上幹著木馬盜號的勾當。簡單刪除會導致桌面顯示異常。
10、電子商務服務
經常在桌面生成一些電子商務網站有關的捷徑,欺騙網民瀏覽“淘寶客”之類的網站。一不留神就可能掉進釣魚網站的陷阱。
最常被利用的十大軟體
通過對綁架型木馬行為的跟蹤研究,以及對感染此類木馬的用戶反饋結果的統計分析,集合軟體自身的占有率,列舉出了十款最常被利用的軟體。1、瀏覽器
2、輸入法
3、360相關軟體
4、下載工具
5、QQ相關軟體
6、FLASH(網頁小遊戲、視頻網站)
7、壓縮軟體(winrar\好壓)
8、播放器相關軟體
9、DNF
10、WOW