瑞星2010年度安全報告
2011-01-14 14:39:53(3)?不良下載站故意傳播低烈性病毒
由于本年度電子商務網站的大量增加,導致“改IE,賺廣告”這種方式非常賺錢,使得很多電影下載站、網游外掛網站等都采用了這種方式。
以最近流行的《讓子彈飛》電影為例,搜索在線電影網站,不難發現有這樣一些網站:
圖8 這個所謂的“本站專用軟件”,其實就是不良程序
有些不良的在線觀看網站借助安裝本站專用網站的機會誘使用戶安裝病毒,甚至以“本站播放的是盜版電影,會遭到瑞星等軟件攔截”等為由誘使用戶關閉殺毒軟件。年初發現的虎虎生威系列病毒變種就是以QVOD播放器下載為誘餌傳播的。
(4)?病毒與殺毒軟件對抗的四種手段
2010年,黑客用來與殺毒軟件對抗的技術手段主要有四種:
i.?阻止殺毒軟件聯網,使“云安全”失去作用。??
目前有多種殺毒軟件為了追求“體積小、占用內存小”而采用了徹底的“云查殺”方式來對付病毒,遇到病毒時需要連接服務器,讀取病毒的特征碼之后再進行查殺。一旦不能聯網,采用該技術的殺毒軟件就變得形同虛設。
針對這些殺毒軟件的“云查殺弱點”,病毒采用了各種手段切斷殺毒軟件的升級渠道。采用的方法有安裝過濾驅動,添加IPSEC策略,添加路由表規則,添加DNS劫持,winsock組件劫持等等。最典型的當屬今年流行的“狗皮膏”木馬病毒。
ii.?自動增肥,給殺毒軟件采集樣本制造障礙??
目前絕大多數殺毒軟件遇到可疑文件時都會上傳到服務器,對這些采集到的樣本進行分析后加入病毒庫,實現對病毒的查殺。
傳統病毒的體積很小,這樣比較有利于傳播。有些殺毒軟件也針對這個特點,對可疑文件的上報做了限制,超過一定大小的就不再上傳;有些“云查殺”殺毒軟件為了快速查殺,也主動忽略了某些較大文件的查殺,這就給病毒以可乘之機。很多病毒在復制自身的時候,會不斷的向文件內寫入垃圾數據,使得文件變得很大,這樣就可以躲過殺毒軟件的上傳甚至查殺。某些病毒的體積,甚至超過100M,相當于一集電視劇的體積。
iii.?盜用正規軟件簽名,繞過殺毒軟件查殺。
正規商業軟件通常會有自己獨特的“數字簽名”,殺毒軟件遇到帶有簽名的軟件時會主動放過。由于有些公司對于自己的“數字簽名”管理不嚴格,造成有的簽名被病毒盜用,從而繞過殺毒軟件的查殺。例如“超級工廠”病毒,就盜用了某聲卡廠商的簽名,讓殺毒軟件認為自己是正常的聲卡驅動,從而躲過殺毒軟件的查殺。
圖9 某病毒中帶有的數字簽名
iv.?多種正規軟件存在安全性缺陷,被病毒利用來傳播
2010年,由于多種正規軟件存在安全性缺陷,被病毒利用來傳播。如農業銀行軟件ABCChina.exe運行Feitian.exe缺陷等。