揭开绑架型木马的“画皮”

自1986年世界上出现第一个计算机木马至今,20多年间,木马已经成为了用户电脑安全的主要威胁,互联网每天新增的木马数量已经近万个。伴随着反木马技术的不断发展,木马制作者为了逃避杀毒软件的追杀,在传播方式、破坏方式等方面也随之不断创新。

从不具备感染性和主动传播性的传统木马,到隐蔽性、危害性更强的感染型木马,尽管传统的木马查杀技术已经可以帮助用户有效地拦截这些木马的入侵,但近年来最新出现的绑架型木马,尤其是2010年以来,绑架型木马增长迅猛,几乎占据了互联网新增木马的主流。

来自《金山安全2010木马发展趋势报告》则指出,无论是木马启动方式,还是对用户电脑系统的破坏性,绑架型木马均超出了传统木马以及感染型木马,而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。

绑架型木马的画皮

伴随着互联网的普及,网络安全问题也成为了广大网民关注的焦点。早在2008年,黑客发现利用系统漏洞以及应用程序的漏洞在用户不知情的状态下,下载木马运行,从而通过游戏盗号、劫持主页、刷流量等非法手段,从中获得暴利。期间,从2008年开始到2010年,由于各大安全厂商纷纷推出防挂马技术,木马很难轻易进入用户电脑,因此,网页挂马等传播木马的方式逐步减少。

然而,黑客为了继续牟取经济利益,进而转向通过软件捆绑等比较隐蔽的方式运行,同时木马作者非常了解操作系统和应用软件运行时程序之间的相互依存关系,木马开始越来越多破坏系统文件、应用程序组件或系统配置,绑架型木马也随之出现了。

那么,什么是绑架型木马?金山安全专家指出,绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同,绑架型木马通过绑架正常的系统文件或某个正常的应用软件实现自启动。运行后,该类木马会通过绑架用户的方式,强行修改用户浏览器主页、强迫用户浏览恶意网站等。

绑架型木马最显著的特点就是木马启动运行的方式发生变革,从原来的几个、几十个系统加载点,转变为成千上万种。同时,绑架型木马还可以破坏系统组件,杀毒软件在简单删除木马程序之后,会出现各种各样的系统异常,而与之相关的应用程序也无法正常运行,甚至出现系统崩溃。

可以说,绑架型木马的出现是木马制作者寻求新的盈利模式、逃避杀毒软件追杀的必然产物。而如今,绑架型木马已经成为了木马制作者牟取经济利益的主要手段。据保守估计,绑架型木马产生的经济利益已经超过了10亿。

目前,绑架型木马的盈利模式主要包含以下几种:与钓鱼网站勾结,即先通过木马绑架用户,强迫用户访问骗子指定的钓鱼网站；锁定浏览器主页,通过对浏览器主页的锁定,换取网络流量,并通过出售网络流量的方式进行牟利；帮助某些购物网站进行推广,通过篡改桌面图标、修改快捷方式、篡改用户浏览器收藏夹等办法绑架用户强行访问某些购物类网站。

劫杀绑架型木马三引擎

有鉴于传统的杀毒技术在绑架型木马面前显得力不从心。金山安全中心结合绑架型木马的特点,经过近半年的研发与测试,最新推出的金山毒霸SP3版本,正式启动了三引擎查杀技术:可信云查杀引擎、蓝芯II本地引擎、系统修复引擎,可以有效帮助用户修复绑架型木马被删除后的各种后遗症。

据悉,传统的杀毒软件通常使用单一杀毒引擎,近年来,也出现了双引擎的杀毒软件,而金山毒霸SP3版本特别结合了木马发展趋势的变化,增加了系统修复引擎。

其中,金山毒霸2011所引入的可信云查杀引擎,将用户端和云端海量样本库进行融合,安装程序仅为20MB左右,内存占用约19MB,体积虽轻巧,查杀准确度却更高,对新病毒的响应在秒级完成,为用户电脑安全提供更有效的保护。

而新一代蓝芯II本地引擎,不但对未知病毒的识别能力极高,扫描病毒的速度也得到大大提升,非首次扫描速度可达1000个文件/秒。更为难得的是,金山毒霸2011对系统资源占用极低,即便进行杀毒,同时操作电脑也不会卡。

此外,针对越来越多替换系统文件,修改系统配置的病毒,金山毒霸特别加入系统修复引擎,在一次快速查杀完成木马程序文件清除的同时,将木马破坏的系统文件、系统注册表配置等等成功修复。用户无需重装即可恢复系统到正常状态,省去因重装造成数据丢失的麻烦。