6、木马“进化论”和典型案例
在巨大经济利益驱动下,尽管新木马源源不断出现,但是在3亿用户和上万台服务器的360云安全体系下,木马生存空间越来越小,存活周期越来越短。
主要原因在于,360安全卫士和360杀毒的“云查杀引擎”采用了白名单和黑名单相结合的机制。传统杀毒技术是基于病毒库黑名单的防护和查杀,而360云查杀一方面能查杀黑名单中的已知木马病毒,另一方面对系统敏感位置采用了“非白即黑”策略,也就是说,白名单以外的未知程序无法自动运行并产生危害,使用户电脑的安全性得到革命性的提升。
同时,360白名单覆盖了99%以上国内网民常用的操作系统和软件的各个版本,在大幅超越传统杀毒技术查杀能力的情况下,还能有效防范误报误杀。在此背景下,木马技术也悄然发生了一些“进化”:
1)从各个方面破坏安全软件,比如阻止安全软件的安装和运行,暴力关闭安全软件的监控,屏蔽云安全服务器,使用户无法正常使用云查杀功能。
典型案例:“呜呜祖拉”木马下载器。该木马在世界杯期间流行,电脑一旦中招,该木马会自动阻止用户下载安装360安全卫士、360杀毒以及360系统急救箱等专业安全软件,并通过劫持DNS解析的方式屏蔽云安全服务器。
2)攻击流行应用软件。利用寄生、感染、改装等方式,木马把输入法、浏览器、聊天工具、下载工具等流行应用软件当成了逃避查杀、隐蔽启动的“保护伞”,甚至某些安全软件的漏洞也被木马利用,篡改锁定受害网民电脑的浏览器首页。
典型案例:金锁木马。从今年4月份开始,一类名为金锁的木马开始流行,它们利用某安全软件的漏洞,把该软件的Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe提取出来,再在配置文件kws.ini中写入了黑客想推广的任意恶意网址,就会让中招用户电脑每天被迫访问这些恶意网址,而且很难修复。
3)MBR感染(感染系统引导区),格式化硬盘也无法清除。电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件,由于这个空间是隐藏的,杀毒软件无法对此进行扫描,一些木马开始采用Rootkit技术感染这一系统引导区。
典型案例:鬼影/魅影木马。该系列木马通常和“飓风影音”播放器捆绑在一起,通过MBR感染具备了极强的复活能力,能够反复下载盗号木马和流氓广告程序攻击中招电脑。
4)利用数字签名来逃避查杀,相当于有“身份证”的木马。由于大多数杀毒软件会信任带有真实数字签名的文件,一些木马也开始利用数字签名进行掩护。木马使用数字签名有两种情况,一种是盗用正规软件厂商外泄的签名,另一种是专门为作恶而注册签名。
典型案例:2009年底,360安全中心率先截获了首个具有真实数字签名的“执照凶手”木马。进入2010年,这类带有数字签名的木马仍然在不断涌现,例如一个名为“桌面推广助手”的木马下载器,它在运行后会自动下载两个木马程序,并自动下载安装某款浏览器以及某款网络游戏大厅客户端。
新生代木马对安全行业提出了严峻挑战,为此,360安全卫士推出能够全方位、多层次安全防护的“木马防火墙”,在“系统防护”之外新增了“应用软件防护”,同时针对木马的传播途径、攻击手段、感染方式进行全面拦截,并不断强化安全软件的自我保护能力,修复防御弱点,目前已经取得了良好的成效。
图5:360云安全数据中心
