篡改首页
主持人:
有网友问过我首页被改成8749这样的现象,这应该属于什么行为呢
张晓兵:
应该属于黑客行为,木马是隐藏在网页中,使用户进到这个网站,他就可以进到他的电脑,他更关心如何进入用户电脑,而不在乎是从哪个网址进入的。
戴光剑:
我觉得应该是去年喊打的流氓软件,8749类似之前的hao123,是利用投机的方式。
主持人:
今天网友也问了一个类似的问题,就是即使把自己的系统重新格式化以后还会发现浏览器被劫持了。
戴光剑:
8749利用了多种感染方式,8749最后感染系统两个DLL文件,一个是利用QQ的加载顺序的过程,QQ有一个网络使用的DLL,修改成加载自己的DLL目录。由于一个EXE加载一个DLL的时候是在当前目录,系统文件是必须把文件拷到QQ目录下,QQ加载的时候默认调用当前的DLL,这个就是被大家修改装载的8749病毒。现在这种流氓软件、木马是一种混合体。如果已经把系统重装格式化了,但是格式化是不是只格式化了C盘,如果这样的话可能用感染文件的方式或者自动启动的功能放到其它的盘内,这几个盘不管系统重装几次也依然会中毒。
主持人:
现在木马出现了哪些新的技术呢?
张晓兵:
就是免杀,它主要是利益,不是编程,首先要逃脱杀毒软件的查杀。就是用各种壳混合的技术。有些木马除了要逃脱杀毒软件的追杀还要逃避用户自己的手动查杀清除,所以它要有多线程保护的方式。用户用普通的方式来查杀,删除其中一个另一个会立刻恢复,造成清除不掉。还有一个技术会躲到系统的最底层逃脱对它的监控。它并不是像传统的病毒和木马只有一两个文件,因为由于现在反病毒软件或者反木马软件都使用了大量未知查杀的技术,这种行为判断机理都是有一个安全的阀值。木马为了降低识别出来的风险,会把自己多个功能分解成多个文件碎片,通过多级来回切换很可能就会逃脱病毒的查杀。这是现在使用比较多的一种技术。
病毒作者的目的就是为了炫耀自己的技术,有一种炫耀技术的心理状态,木马的编程者主要还是为了获得实实在在的利益。所以他们的动作也是相反的。
主持人:
晓兵能给我们大概介绍一下木马的程序结构吗?
张晓兵:
传统的就是服务器和客户端的方式。服务器端是有目的的人进行控制的一种方式。现在的木马有些特性跟以前不一样,早期木马特性主要目的是控制。现在木马主要是偷窃,他只要利用一些方式分析出一些信息,比如用户的网银账户,直接把这个传递出去就可以。所以本身就没有远程庞大的客户端,只剩下很小的服务器端,而且是把取到的信息发到相应的邮箱。
主持人:
我现在每天看金山的病毒播报,有些病毒报出来之后特征跟木马也很相似?
戴光剑:
目前发展阶段的病毒和木马是一种混合体,病毒会成为一种载体,传播的快、传播的多,目的就是种植木马,把一些木马的功能放到病毒体内。也是冲着一些经济利益,像刚才讲的8749是为了让主页点击率更多,病毒也在往这方面的趋势发展。国外的邮件蠕虫最终目的是收集邮件地址。
网友评论