因为绑架型木马的强大破坏性,一旦用户感染了此类木马,传统的杀毒软件很难彻底清除,即使删除了木马文件,用户的系统也会出现很多“后遗症”。金山安全中心最新统计数据显示,感染了绑架型木马之后,用户电脑集中表现为五大特征:浏览器首页被篡改、桌面恶意图标无法删除、桌面快捷方式被篡改、浏览器收藏夹异常以及部分网页打不开等。
绑架型木马的防护
基于绑架型木马防不胜防、破坏性强、难以彻底删除等特点,传统的杀毒技术在对绑架型木马文件进行查杀后,经常会出现各种各样的系统异常,而与之相关的应用程序也无法正常运行,甚至出现系统崩溃。
传统的杀毒技术在绑架型木马面前显得力不从心。金山安全中心结合绑架型木马的特点,经过近半年的研发与测试,最新推出的金山毒霸SP3版本,正式启动了“三引擎”查杀技术:可信云查杀引擎、蓝芯II本地引擎、系统修复引擎,有效帮助用户修复了绑架型木马被删除后的各种“后遗症”。
传统的杀毒软件通常使用单一杀毒引擎,近年来,也出现了双引擎的杀毒软件,而金山毒霸SP3版本特别结合了木马发展趋势的变化,增加了系统修复引擎。
可信云查杀引擎
金山毒霸2011引入可信云查杀超前理念,将用户端和云端海量样本库完美融合,安装程序仅为20MB左右,内存占用约19MB,体积虽轻巧,查杀准确度却更高,对新病毒的响应在秒级完成,为用户电脑安全提供更有效的保护。
蓝芯II本地引擎
金山毒霸2011采用新一代蓝芯II本地引擎,不但对未知病毒的识别能力极高,扫描病毒的速度也得到大大提升,非首次扫描速度可达1000个文件/秒。更为难得的是,金山毒霸2011对系统资源占用极低,即便进行杀毒,同时操作电脑也不会“卡”。
系统修复引擎
针对越来越多替换系统文件,修改系统配置的病毒,金山毒霸特别加入系统修复引擎,在一次快速查杀完成木马程序文件清除的同时,将木马破坏的系统文件、系统注册表配置等等成功修复。用户无需重装即可恢复系统到正常状态,省去因重装造成数据丢失的麻烦。
绑架型木马最喜欢攻击的系统应用
1、输入法
病毒木马伪装成输入法组件,或者感染输入法组件,病毒并不在开机后立即运行,而是在用户切换输入法时调用,非常巧妙的避开了安全软件对敏感加载点的防御。
2、篡改桌面图标
很多人并没有留意桌面快捷方式图标也是病毒木马藏身之处,被篡改后的图标看上去只会有一点点异常,因为并不以文件的方式存在,用户删除不掉的情况下,甚至逐渐接受了这些奇怪的快捷方式。
3、DirectX组件
这是游戏软件运行时,必须依赖的公共组件。病毒并不一开机就加载,而是当玩家玩儿游戏时才运行,一旦杀毒软件删除了病毒文件,但是玩家却发现游戏玩儿不了了,而用户会认为是杀毒软件的问题。
4、聊天工具QQ相关的依赖组件
许多人买电脑后第一个要安装的软件就是QQ,而破坏性木马直接改写QQ相关的组件,比如QQ,QQ游戏等组件。这样,木马在QQ的相关程序运行时才启动,也是很巧妙的招数。简单删除这些破坏性木马,用户就会出现QQ游戏进不去,QQ餐厅进不去。
5、浏览器相关组件
破坏性木马会伪装成IE插件,或者感染IE浏览器运行所依赖的组件,简单删除后,会导致IE内核的浏览器均出现异常。
6、VB,VC运行库,.net运行库
大量应用软件依赖这些组件,而且每台windows主机里都有这些组件。经常看到有用户询问mfc71.dll、msvcr71.dll找不到之类的问题。
7、编写一些vbs脚本,调用病毒dll
中毒后的电脑经常会出现rundll加载出错,runtime error之类的消息。
8、破坏flash相关组件
破坏性木马损坏flash相关组件之后,会影响网民观看在线视频,QQ农场、牧场不能登录等等。
9、伪装成桌面主题或桌面小工具之类的软件欺骗安装
表面上提供微不足道的小功能,实际上干着木马盗号的勾当。简单删除会导致桌面显示异常。
10、电子商务服务
经常在桌面生成一些电子商务网站有关的快捷方式,欺骗网民浏览“淘宝客”之类的网站。一不留神就可能掉进钓鱼网站的陷阱。
最常被绑架型木马利用的十大软件
通过对绑架型木马行为的跟踪研究,以及对感染此类木马的用户反馈结果的统计分析,集合软件自身的占有率,列举出了十款最常被绑架型木马利用的软件。
1、浏览器
2、输入法
3、360相关软件
4、下载工具
5、QQ相关软件
6、FLASH(网页小游戏、视频网站)
7、压缩软件(winrar\好压)
8、播放器相关软件
9、DNF
10、WOW
