自1986年世界上出现第一个计算机木马至今,20年间,木马已经成为了用户电脑安全的主要威胁,互联网每天新增的木马数量已经近万个。伴随着反木马技术的不断发展,木马制作者为了逃避杀毒软件的追杀,在传播方式、破坏方式等方面也随之不断创新。
从不具备感染性和主动传播性的传统木马,到隐蔽性、危害性更强的感染型木马,传统的木马查杀技术已经可以帮助用户有效的拦截这些木马的入侵。而近年来最新出现的“绑架型木马”,尤其是2010年以来,绑架型木马增长迅猛,几乎占据了互联网新增木马的主流。无论是木马启动方式,还是对用户电脑系统的破坏性,绑架型木马均超出了传统木马以及感染型木马。而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。
什么是绑架型木马?
绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同,绑架型木马通过“绑架”正常的系统文件或某个正常的应用软件实现自启动。运行后,该类木马会通过“绑架”用户的方式,强行修改用户浏览器主页、强迫用户浏览恶意网站等。同时,绑架型木马还可以破坏系统组件,杀毒软件在简单删除木马程序之后,会出现各种各样的系统异常,而与之相关的应用程序也无法正常运行,甚至出现系统崩溃。
绑架型木马的出现背景
绑架型木马的出现是木马制作者寻求新的盈利模式、逃避杀毒软件追杀的必然产物。
1、木马“盈利模式”的变革催生破坏型木马的诞生
2008年,黑客发现利用系统漏洞以及应用程序的漏洞在用户不知情的状态下,下载木马运行,从而通过游戏盗号、劫持主页、刷流量等非法手段,从中获得暴利。从2008年开始到2010年,各大安全厂商纷纷推出防挂马技术,木马很难轻易进入用户电脑,因此,网页挂马等传播木马的方式逐步减少。
黑客为了继续牟取经济利益,进而转向通过软件捆绑等比较隐蔽的方式运行,同时木马作者非常了解操作系统和应用软件运行时程序之间的相互依存关系,木马开始越来越多的破坏系统文件、应用程序组件或系统配置 ,也就是我们所说的绑架型木马出现了。绑架型木马最显著的特点就是木马启动运行的方式发生变革,从原来的几个、几十个系统加载点,转变为成千上万种。
2、现有的木马查杀技术已经让传统木马无法生存
随着杀毒软件对系统监控点的防御增加,木马运行起来后,在一些系统关键位置可能就会被杀毒软件发现并查杀,系统常用来启动加载程序的敏感位置也被安全软件监视,传统木马很难突破这些监控。
为了能让木马运行起来,木马必须先替换掉正常的系统文件或第三方常用软件,借操作系统文件和应用软件的组件来存活。当运行某些系统功能或需要运行某点特定的应用时,木马也就随之被运行起来。
绑架型木马背后的经济利益
绑架型木马已经成为了木马制作者牟取经济利益的主要手段。据保守估计,绑架型木马产生的经济利益已经超过了10亿。绑架型木马的盈利模式主要包含以下几种:
1、与钓鱼网站勾结。先通过木马“绑架”用户,强迫用户访问骗子指定的钓鱼网站;
2、锁定浏览器主页。通过对浏览器主页的锁定,换取网络流量,并通过出售网络流量的方式进行牟利;
3、帮助某些购物网站进行推广。通过篡改桌面图标、修改快捷方式、篡改用户浏览器收藏夹等办法“绑架”用户强行访问某些购物类网站。
绑架木马的特点
防不胜防、破坏性强、难以彻底删除
1、绑架型木马可以通过“绑架”正常的系统文件或某个正常的应用软件的方启动,在这个过程中,可以被绑架型木马利用的正常的系统文件或软件不计其数,防不胜防。
2、破坏系统组件,简单删除木马程序之后,会出现各种各样的系统异常,与之相关的应用程序无法正常运行,甚至出现系统崩溃。比如游戏不能运行,提示缺少某个DLL文件,系统莫名的出错很慢。
绑架型木马的数量变化
2010年之前,绑架型木马已经出现,但并没有大规模爆发。进入2010年,绑架型木马增长迅猛,仅2010年前9个月即新增绑架型木马943862个,占据新增木马的84.2%。
感染绑架型木马后用户电脑特征