瑞星2010年度安全報(bào)告
2011-01-14 14:39:53(3)?不良下載站故意傳播低烈性病毒
由于本年度電子商務(wù)網(wǎng)站的大量增加,導(dǎo)致“改IE,賺廣告”這種方式非常賺錢(qián),使得很多電影下載站、網(wǎng)游外掛網(wǎng)站等都采用了這種方式。
以最近流行的《讓子彈飛》電影為例,搜索在線電影網(wǎng)站,不難發(fā)現(xiàn)有這樣一些網(wǎng)站:
圖8 這個(gè)所謂的“本站專(zhuān)用軟件”,其實(shí)就是不良程序
有些不良的在線觀看網(wǎng)站借助安裝本站專(zhuān)用網(wǎng)站的機(jī)會(huì)誘使用戶(hù)安裝病毒,甚至以“本站播放的是盜版電影,會(huì)遭到瑞星等軟件攔截”等為由誘使用戶(hù)關(guān)閉殺毒軟件。年初發(fā)現(xiàn)的虎虎生威系列病毒變種就是以QVOD播放器下載為誘餌傳播的。
(4)?病毒與殺毒軟件對(duì)抗的四種手段
2010年,黑客用來(lái)與殺毒軟件對(duì)抗的技術(shù)手段主要有四種:
i.?阻止殺毒軟件聯(lián)網(wǎng),使“云安全”失去作用。??
目前有多種殺毒軟件為了追求“體積小、占用內(nèi)存小”而采用了徹底的“云查殺”方式來(lái)對(duì)付病毒,遇到病毒時(shí)需要連接服務(wù)器,讀取病毒的特征碼之后再進(jìn)行查殺。一旦不能聯(lián)網(wǎng),采用該技術(shù)的殺毒軟件就變得形同虛設(shè)。
針對(duì)這些殺毒軟件的“云查殺弱點(diǎn)”,病毒采用了各種手段切斷殺毒軟件的升級(jí)渠道。采用的方法有安裝過(guò)濾驅(qū)動(dòng),添加IPSEC策略,添加路由表規(guī)則,添加DNS劫持,winsock組件劫持等等。最典型的當(dāng)屬今年流行的“狗皮膏”木馬病毒。
ii.?自動(dòng)增肥,給殺毒軟件采集樣本制造障礙??
目前絕大多數(shù)殺毒軟件遇到可疑文件時(shí)都會(huì)上傳到服務(wù)器,對(duì)這些采集到的樣本進(jìn)行分析后加入病毒庫(kù),實(shí)現(xiàn)對(duì)病毒的查殺。
傳統(tǒng)病毒的體積很小,這樣比較有利于傳播。有些殺毒軟件也針對(duì)這個(gè)特點(diǎn),對(duì)可疑文件的上報(bào)做了限制,超過(guò)一定大小的就不再上傳;有些“云查殺”殺毒軟件為了快速查殺,也主動(dòng)忽略了某些較大文件的查殺,這就給病毒以可乘之機(jī)。很多病毒在復(fù)制自身的時(shí)候,會(huì)不斷的向文件內(nèi)寫(xiě)入垃圾數(shù)據(jù),使得文件變得很大,這樣就可以躲過(guò)殺毒軟件的上傳甚至查殺。某些病毒的體積,甚至超過(guò)100M,相當(dāng)于一集電視劇的體積。
iii.?盜用正規(guī)軟件簽名,繞過(guò)殺毒軟件查殺。
正規(guī)商業(yè)軟件通常會(huì)有自己獨(dú)特的“數(shù)字簽名”,殺毒軟件遇到帶有簽名的軟件時(shí)會(huì)主動(dòng)放過(guò)。由于有些公司對(duì)于自己的“數(shù)字簽名”管理不嚴(yán)格,造成有的簽名被病毒盜用,從而繞過(guò)殺毒軟件的查殺。例如“超級(jí)工廠”病毒,就盜用了某聲卡廠商的簽名,讓殺毒軟件認(rèn)為自己是正常的聲卡驅(qū)動(dòng),從而躲過(guò)殺毒軟件的查殺。
圖9 某病毒中帶有的數(shù)字簽名
iv.?多種正規(guī)軟件存在安全性缺陷,被病毒利用來(lái)傳播
2010年,由于多種正規(guī)軟件存在安全性缺陷,被病毒利用來(lái)傳播。如農(nóng)業(yè)銀行軟件ABCChina.exe運(yùn)行Feitian.exe缺陷等。
5/6 首頁(yè) 上一頁(yè) 3 4 5 6 下一頁(yè) 尾頁(yè)