混合型木马病毒
主持人:
现在很多病毒木马特征都混合在一起,当发现同一个威胁的时候,两个特征都具备是作为病毒处理还是作为木马处理呢?
戴光剑:
金山这边的原则是看它哪方面的级别更高,比如有破坏级别、传播级别,如果破坏级别更高就是木马,如果传播速度更快、手段也是最新的,我们就把它归为病毒。
张晓兵:
虽然现在大家会理解反病毒软件只查病毒,木马软件只查木马,但是由于这些东西的融合,其实反病毒燃烧也在查各类木马,这是不矛盾的,目的就是为了使用户的损失降到最低。
戴光剑:
最大的原因是因为用户本身就区分不了木马和病毒。
主持人:
如果我们把双方的防木马和杀毒软件工具都买回来了,那么我通过哪些方法才能分辨出哪些危害属于木马,要用防木马工具;哪些属于病毒要用杀毒软件?
戴光剑:
出现威胁问题的话,用哪一款软件应该都能达到目的。
张晓兵:
看产生的威胁是不是像木马就要看它是否连接外网,金山和木马的防火墙都有往外链的功能。当用户发现有异常,这两款软件还不报的情况下怎么办,首先看补丁是否打全,第二看端口,第三看进程,第四看工具。如果这一套工具会用的话是可以发现一些问题的。
主持人:
如果电脑不能正常运行了,肯定是中毒了,木马隐藏性很大,如果想发现很难,有没有什么有效查杀木马的方法呢?
张晓兵:
我们要分析木马这个的传播链。木马会通过一些网站下载、QQ尾巴、邮件等方式进行传播。我们首先规范自己上网站不要上一些不好的网站。上QQ的时候看有没有收到链接等这样的信息,如果进入到系统里会产生两部分,一个是内存活动的进程,如果发现突然多了一个进程,是不是正常呢?可以看看这个进程产生的文件是不是在正常的目录。尤其木马企图伪装跟系统一样,所以起的文件名跟系统很类似。你感觉很像Win的文件,但是没有,起的很像又不像的话就有问题。我们可以利用查看服务的方式看哪些服务是新加的,它起的名字都是跟正常的服务是不一样的。这些木马程序文件信息是不可能有公司名的,我们看这些可疑的文件是否没有公司的信息。另外,如果除了这些还有一些端口,我们就看一下是否有额外的端口被打开。手动发现木马也就这几种方式。
主持人:
病毒跟木马是非常相似的?
戴光剑:
感染性病毒不太相似,感染性病毒用一些软件的时候就能发现,比如看图片的时候如果它被病毒感染了,再运行程序的时候会出一个报错程序,包括毒霸的杀毒软件,突然发现一个软件说自身被修改了,很可能就是有感染了。另外通过文件的方式在操作系统的时候,系统文件夹选项里有一个显示隐藏文件,和保护文件,这两个一定要打开,因为病毒经常利用这两个隐藏。如果你把这两个打开再去D、E盘访问的时候很可能有一个Autorun.inf这就是中毒了。
张晓兵:
早期我们理解的病毒就是因为它的疯狂感染,使我们的系统没法用。早期的木马被中了感觉就是网络连接特别慢,病毒和木马发展到今天这两个特性已经不明显了。随着编制这些技术越来越高大家都在尽量避免,病毒可能内存只进入一次就不进入了,木马可能不占用太多的CPU了,他们技术的提升是为了使隐蔽性更强。对于个人用户来讲, 90%以上用户是不习惯把自己的操作系统里的文件选项中“显示隐藏文件”选上的,用这种方式确实可以避免掉一些被U盘感染的机会,或者被感染之后很容易发现其他的盘里有这样的东西。U盘木马最麻烦的是对文档特别感兴趣。对用户来讲计算机操作系统可以重装,但是文档非常重要。它恰恰是会破坏你的文档或者删除,大部分U盘木马是这样的作用,对我们来说破坏性更强。
主持人:
我每次重装系统之后,把网络联上的时候会有一些系统文件会告诉我被修改,这是属于连接网络的时候系统正常出现的情况呢?还是因为有病毒或者木马呢?
戴光剑:
一般来说是系统正常的,是有一个升级的验证和检测。防火墙一般有数字签名和版本的检测。
张晓兵:
第一,看用户怎么看,什么时候出现这种情况,假如初装了防火墙,没有任何一条程序规则的时候对每个程序都会有这样的被拦情况,这时候我们可以放心的继续。
第二,当我们装一些新的软件的时候,这些软件如果需要连接网络,我们也可以放心。前提是我们新装的软件是从正规渠道得到的。其他的假如说你的网络程序全部安装完,平时又没有什么操作,突然有一个程序说要连接网络,这是很可疑的。其实这是可以避免的,这是我们的责任,我们应该帮助用户判断。把选择权交给用户,有时候对用户来说是一种不负责任,这是需要我们改进的。
思维的差异
网友:
有没有可能让杀毒与杀木马的功能结合在一起?
主持人:
确实现在很多软件能杀病毒也能杀木马,这也是一种趋势嘛?
张晓兵:
我们跟金山一直有一些技术层面的合作。病毒和木马虽然很像但是确实有区别,而且在现在木马越来越多的情况下反病毒人员的也在研究木马,所以出来的产品确实是杀病毒、杀木马功能都会包含的一些产品。
另外,木马和病毒方面是有一些思维的差异,这些差异是可以通过技术交流解决的。
戴光剑:
我们针对的用户没有太严格的区分,更多的是帮助用户修复电脑受到的威胁。我们在早期系统清理专家核心模块已经嵌置到杀毒模块,就是先进行一些预扫,其实提到合,我们早就合了。
主持人:
比如说我的电脑出现问题了,先用金山毒霸扫了一遍,扫出了很多病毒,用木马这样的软件再扫一遍,又发现很多木马文件,这种现象是怎么造成的?
戴光剑:
我觉得这种情况应该比较少,出现的原因是采集渠道和用户群体不一样。木马的传播方式,一个木马只感染一百个用户,对病毒来说这不算感染,但是有一千个木马就可以感染很多用户了。这一千个木马里可能没有感染病毒的群体,我们可能采集不到,那我们就可以跟木马厂商交流进行互补。
张晓兵:
这种趋势应该是越来越小,因为通过各家之间的交流和合作之后,对于反病毒界来讲我们整个库会慢慢统一。
戴光剑:
我们是通过用户受到威胁的行为进行分析,进行采集的手段和行为分析的方法。你提到的问题安全领域应该不会有门户之见。
主持人:
木马和病毒有一段时间还是比较仇视的?
戴光剑:
是有,网络天空和恶音互相谩骂。
主持人:
现在木马和病毒为什么融合了呢,是因为利益吗?
戴光剑:
对。是希望利用病毒这种快速的传播方式作为一个载体,如果散发出一千个客户端10%回馈利益就很大了。
主持人:
这一阵看新闻金山已经通过VB100%认证,木马领域也有类似的认证吗?
张晓兵:
木马我们以前是通过TOBVOS(音)50的认证,是否有VB100这样的还不太清楚。
主持人:
目前看国内和国外比较,国内的木马多一些还是病毒多一些?
张晓兵:
国际化来讲木马肯定是最多的,占到70%,中国也是木马这块更多,因为流氓软件也被归到木马这一块我们中国是最大的流氓软件输出地。
戴光剑:
76%以上都是属于木马。
木马和病毒变种
主持人:
现在木马和病毒变种越来越多,而且速度越来越快,这是为什么呢?
戴光剑:
应该是经济利益的问题吧。
张晓兵:
第一是有利益驱动,第二是技术平民化,因为Windows平台已经出来有10年,它的技术非常成熟,另外所有的木马编写已经团队化、专业化了,这样产出会很高,技术含量也会很高。
主持人:
病毒和木马不需要有多深的技术只利用生成器就可以制出来了。
戴光剑:
对。
主持人:
目前破坏率最大的是哪些生成器呢?
戴光剑:
我记得有一个AV终结者的名叫“NB生成器”的东西,是提示你外挂一个加壳程序,只要有脱壳生成器,生成再多都没有意义,对于没有编程技术的人员可以利用这个生成一个可用的版本。
张晓兵:
木马最有名的就是灰鸽子。
主持人:
近期呢?
戴光剑:
有一个叫上兴,内盒用的是灰鸽子,内部的一些网络传输,包括进程监控、屏幕捕捉、控制都是可能用的灰鸽子的代码。
主持人:
这是几乎继承了灰鸽子技术的木马?
戴光剑:
也不排除地下的灰鸽子换了一个名字重新上。
网友评论