篡改首页
主持人:
有网友问过我首页被改成8749这样的现象,这应该属于什么行为呢
张晓兵:
应该属于黑客行为,木马是隐藏在网页中,使用户进到这个网站,他就可以进到他的电脑,他更关心如何进入用户电脑,而不在乎是从哪个网址进入的。
戴光剑:
我觉得应该是去年喊打的流氓软件,8749类似之前的hao123,是利用投机的方式。
主持人:
今天网友也问了一个类似的问题,就是即使把自己的系统重新格式化以后还会发现浏览器被劫持了。
戴光剑:
8749利用了多种感染方式,8749最后感染系统两个DLL文件,一个是利用QQ的加载顺序的过程,QQ有一个网络使用的DLL,修改成加载自己的DLL目录。由于一个EXE加载一个DLL的时候是在当前目录,系统文件是必须把文件拷到QQ目录下,QQ加载的时候默认调用当前的DLL,这个就是被大家修改装载的8749病毒。现在这种流氓软件、木马是一种混合体。如果已经把系统重装格式化了,但是格式化是不是只格式化了C盘,如果这样的话可能用感染文件的方式或者自动启动的功能放到其它的盘内,这几个盘不管系统重装几次也依然会中毒。
主持人:
现在木马出现了哪些新的技术呢?
张晓兵:
就是免杀,它主要是利益,不是编程,首先要逃脱杀毒软件的查杀。就是用各种壳混合的技术。有些木马除了要逃脱杀毒软件的追杀还要逃避用户自己的手动查杀清除,所以它要有多线程保护的方式。用户用普通的方式来查杀,删除其中一个另一个会立刻恢复,造成清除不掉。还有一个技术会躲到系统的最底层逃脱对它的监控。它并不是像传统的病毒和木马只有一两个文件,因为由于现在反病毒软件或者反木马软件都使用了大量未知查杀的技术,这种行为判断机理都是有一个安全的阀值。木马为了降低识别出来的风险,会把自己多个功能分解成多个文件碎片,通过多级来回切换很可能就会逃脱病毒的查杀。这是现在使用比较多的一种技术。
病毒作者的目的就是为了炫耀自己的技术,有一种炫耀技术的心理状态,木马的编程者主要还是为了获得实实在在的利益。所以他们的动作也是相反的。
主持人:
晓兵能给我们大概介绍一下木马的程序结构吗?
张晓兵:
传统的就是服务器和客户端的方式。服务器端是有目的的人进行控制的一种方式。现在的木马有些特性跟以前不一样,早期木马特性主要目的是控制。现在木马主要是偷窃,他只要利用一些方式分析出一些信息,比如用户的网银账户,直接把这个传递出去就可以。所以本身就没有远程庞大的客户端,只剩下很小的服务器端,而且是把取到的信息发到相应的邮箱。
主持人:
我现在每天看金山的病毒播报,有些病毒报出来之后特征跟木马也很相似?
戴光剑:
目前发展阶段的病毒和木马是一种混合体,病毒会成为一种载体,传播的快、传播的多,目的就是种植木马,把一些木马的功能放到病毒体内。也是冲着一些经济利益,像刚才讲的8749是为了让主页点击率更多,病毒也在往这方面的趋势发展。国外的邮件蠕虫最终目的是收集邮件地址。
新的混合体的防范
主持人:
现在新的发展趋势情况下,无论是防病毒还是防木马都应该出现一些新的举措,那么对付这种新的混合体我们采取了怎样的措施呢?
戴光剑:
对于目前的阶段,木马可能传播范围小,可以利用免杀技术,多种反病毒技术对付多变的情况。脱壳的方式可能需要一些时间,它利用简短的免杀期制作出不同的变种,我们在这方面利用到了一个技术叫数据流查杀技术。我们和现有的特征技术有一些区别,当这种病毒只要运行起来,我们就可以通过运行的数据流进行查杀。
主持人:
这个是属于对现有特征码技术的一个改进吗?
戴光剑:
对。比如说不管是木马还是病毒,现在最终的媒介体应该是一个文件,我们还是在查杀文件,对于文件单个体来讲最重要的是采集过程。所以我们发布了一些工具,比如说可疑文件扫描工具,通过一些行为监控木马安装过程中的位置,尽快收集到,我们通过一套完整的分析、提取特征、升级(每周升级三次),快速的升级速度避免变种更新的方法。刚刚说到可疑文件静态的行为,比如说8749,如果发现主页被改成8749,我们就可以判断这台机器可能中了这个病毒,可能会感染QQ,我们就去QQ目录扫,是否存在这个文件,如果出现这个文件可能就是病毒的新变种。这种技术能够在最小损失和最快速度相结合的情况下避免病毒更大的危害。
张晓兵:
目前最有效的还是特征码技术,可以解决掉80%的可疑问题。它是最精准的病毒定位的方式。一些静态特征码对病毒的采集会有要求,没发现的时候会没办法知道的。我们为了弥补这个缺陷还要有未知扫描。行为查杀是文件刚刚被激活的时候对它进行分析。这跟金山数据流差不多,因为激活过程中发现的话是更有效的。如果想更好的遏制,就是要有一个好的收集、采集技术,这套体制对用户要求还是蛮苛刻的。因为这套体制除了有一些遍布在各个网点的自动的病毒采集,另外更主要依赖于病毒的上报和信息的交换。病毒本身就是传播面比较广,但是对于有目的的木马来讲用户是没感觉的,只能依赖于高级用户。
网友:
网易和21CN用的网页防篡改有什么区别吗?
张晓兵:
不知道是服务器端的防篡改还是客户端的防篡改,如果是客户端的防篡改还是流氓软件和木马更容易把首页给修改掉。如果是服务器呢,更主要是黑客行为,他们会有一些相应的防范措施,不是装一个杀毒软件就可以的,他们需要有一套流程去做。
网友评论