随着安全技术的发展,黑客都十分地清楚,在现在,利用网页木马进行肉鸡的捕捉是最好的方法。这也造成了网页木马在网络中泛滥成灾,给电脑用户造成了很大的威胁。有矛就有盾,各种网页木马拦截工具应运而生,这些工具不但可以对已知的网页木马进行拦截,还可以对很多未知的网页木马进行拦截。那么这些程序在面对网页木马时的真实表现如何?今天我们就让这些网页木马拦截工具在网页木马前过招,看看谁才是真正的网页木马克星。
为何能拦截未知网页木马
有一句话说得很好:“病毒库的更新永远比病毒更新慢。”很多人装了杀毒软件也中了病毒就是这个原因。那么,这些网页木马拦截工具号称能够拦截未知的网页木马,它凭什么这么说,它的原理是什么呢?
我们首先从网页木马的工作原理说起。网页木马并不是一种全新的木马类型,而只是一种全新的木马伪装和传播方式。黑客将木马程序转化为图片、脚本、视频等网页可以识别的文件形式,当网友访问这个网页木马后,如果系统存在该木马利用的漏洞,那么就会激活网页木马运行。接着网页木马通过脚本代码自动下载黑客设置的木马程序并运行,最终让黑客捕获大量肉鸡。
而网页木马拦截工具的工作原理,就是在“木马下载后运行”这一环节进行拦截的。当有文件准备在后台运行的时候,拦截工具就会进行拦截并提示用户。因为它根本不会核对这是否是网页木马,只要网页有类似可疑操作,就进行拦截,并通知用户。这也是为何它们能够防范未知网页木马的原因。
热门网页拦截工具
我们特意选择了金山清理专家、IE卫士、瑞星卡卡、网页木马拦截器这4款当前比较有人气的网页木马拦截工具。其中金山清理专家、瑞星卡卡都是有专业安全公司推出的安全工具,而IE卫士和网页木马拦截器则是专业的网页木马拦截器。
金山清理专家
金山清理专家是金山毒霸推出的一款安全工具,在最新版本中新增加了一个网页木马拦截功能。成功安装清理专家后点击工具栏中的“网页防挂马”功能,由于该功能是利用插件的形式来操作的,因此首先要点击“安装并开启”按钮来激活(图1)。
目前该功能支持的浏览器包括IE浏览器,虽然程序声称可以支持Maxthon,但是在实际测试中并不支持Maxthon。
IE卫士
IE卫士是一款插件形式的网页木马拦截工具。双击“IE卫士”安装程序后,程序会自动安装到C:\PRogram Files\IEKavass目录下,接着自动注册浏览器BHO到IE浏览器和Maxthon浏览器中(图2)。
由于Windows 2003系统在默认设置时不能自动加载BHO,要点击IE浏览器菜单下的“Internet选项”,在“高级”标签中选择“启用第三方浏览器扩展”选项,然后再进行插件的安装运行即可。
瑞星卡卡
瑞星卡卡是瑞星公司推出的一款反流氓软件,独创“IE防漏墙”功能模块,可以在流氓软件、木马、病毒等试图通过IE漏洞入侵计算机的时候进行阻止。当瑞星卡卡成功在系统安装以后,“IE防漏墙”功能模块就会自动激活(图3)。该功能目前只支持IE浏览,除此以外包括Maxthon在内的浏览器都不支持。
网页木马拦截器
网页木马拦截器这款全新的安全工具,无论是网页木马还是捆绑文件,都可以进行快速而有效的拦截。由于网页木马拦截器是一款绿色程序,因此当我们运行它以后只要点击“开始拦截”按钮,就能够成功的启动程序的拦截功能,并且最小化隐藏到系统任务栏(图4)。该功能支持包括IE浏览器、Maxthon在内的所有使用IE浏览器内核的浏览器。
与网页木马现场过招
要测试这些网页木马拦截器是否真有用,就必须使用网页木马来进行测试才行。今天我们测试使用的网页木马,分别利用MS-06014漏洞、MS-06014变种、ANI漏洞、以及最新的PPStream溢出漏洞创建,可以说是涵盖了老、中、新三代网页木马的典型。
金山清理专家简单易用
当我们使用IE浏览器访问这些网页木马后,金山清理专家会在系统桌面的右下角弹出一个窗口,提示用户浏览器在后台下载了一个新文件,已经阻止了该程序的运行(图5)。
点击窗口中的“查看详情”按钮,可以了解更多的信息。当清理专家在面对这4个不同的网页木马的时候(其中包括一个MS-06014网页木马的变种),都能成功的进行提示并拦截。由此证明金山清理专家的拦截能力还是非常突出的。但是金山清理专家有一个明显的缺陷,就是不能让用户自己对下载可疑文件进行选择运行或阻止的操作。
IE卫士功能简单但实用
当我们访问这些漏洞的网页木马后,很快IE卫士就弹出一个提示窗口(图6),告知用户“浏览器试图创建进程,这是网页木马的典型行为,如果你感到意外,敬请拦截!”,同时会在程序路径选项中显示出可疑程序的路径。
我们只要点击“拦截(推荐)”按钮,就可以成功的阻止该网页木马的操作。如果可以肯定该文件的合法性,可以选择“将此程序添加到信任区,以后不在提示”选项,并且点击“允许按钮”即可。通过对这些网页木马的测试,发现IE卫士可以很好的拦截所有的网页木马。
瑞星卡卡防漏不足
当我们访问网页木马后,瑞星卡卡的“IE防漏墙”功能,也会弹出一个相应的提示窗口。提醒用户浏览器试图运行下面的程序,并且提示用户一些恶意程序的伪装方式。点击“阻止”按钮就可以阻止文件的运行,而点击“允许”即可就会执行该文件的运行(图7)。
对于普通生成的网页木马,IE防漏墙都可以成功的拦截。可是当我们浏览网页木马的变种时,该网页木马就成功的进行了运行,这说明IE防漏墙并没有防止住这个漏洞。
为何不能够发现变种的网页木马,我们对它进行了分析。直接运行木马程序mm.exe,瑞星卡卡会警告。但若运行command mm.exe就可以成功运行木马,但是瑞星卡卡却没有出现任何的警告信息。
从技术角度分析是因为瑞星卡卡拦截的是CreateProcess之类的函数,并且它会放过经过认证的程序(诸如command等),通过事实证明这是相当危险的设置。而其他程序拦截的却是比它更底层的NTCreateProcess之类的函数,而且不会放过任何一个新进程的创建,木马要想绕过NTCreateProcess创建进程从目前来看是不大可能的。
网页木马拦截器操作要求较高
现在我们测试网页木马拦截器,当浏览器遇见网页木马的时候,程序将自动的弹出操作界面。这时我们就可以在“进程”标签中发现一个带问号的进程(图8)。
从状态栏目里面可以看出该进程“正在启动”,说明在正在启动的时候就被拦截了,这时用户可以根据自己的经验来判断该进程的合法性。
当用户判断出进程的合法性以后,就可以通过右键菜单中的命令来操作。如果这个进程是安全的话,那么点击“信任进程”按钮就表示允许程序执行,反之点击“结束进程”按钮就表示禁止该进程的运行。
如果不想以后对同一个进程再进行判断的话,那么可以通过右键菜单将其添加到白名单或黑名单中。如果被添加到黑名单中,那么以后该进程运行的时候,将被程序自动的进行拦截并记录。
总结
现在各种各样的网页木马层出不穷,因此一款性能良好的网页木马拦截工具可以极大地提高系统的安全系数。同时,因为它们自身的不需要病毒库,可以防范未知网页木马等特性,以后必将成为系统安全防范体系中的重要一员。
经过我们的测试,我们认为除了瑞星卡卡不能够防范已有变种网页木马外,其他的3款软件都能够有效地防范网页木马。其中金山清理专家、IE卫士、瑞星卡卡,都是将保护插件插入到浏览器进程中,因此在运行浏览器的时候就会自动加载进行保护,这对普通用户是相当有帮助的,而网页木马拦截器需要用户专门运行才可以进行保护,在方便程度上要略逊一筹。
在兼容性方面,用户只使用IE浏览器的话,选择清理专家和IE卫士都非常的不错。如果使用其他浏览器的话,那么网页木马拦截器和IE则是当仁不让的选择。
另外由于三款拦截器都是插入到浏览器进程的,所以不会被黑客程序所终止或卸载。而网页木马拦截器由于存在自己的进程,可能会被恶意脚本所结束而失去作用。
在操作难度上,网页木马拦截器需要用户能够自己判断进程,这需要用户具有一定的安全基础才行,所以并不太适合初级用户。金山清理专家和IE卫士都是相当简单的,并且效果不错,初级用户的不二选择。
特别声明,金山清理专家和瑞星卡卡只是进行了网页木马拦截功能的测试,该测试并不代表这两款程序的综合测试评比。
本文转自:电脑报