“我花了幾百元買的正版殺毒軟件對有些病毒為何視而不見?”許多電腦用戶常常無奈地發(fā)出這樣的抱怨。產(chǎn)生這種現(xiàn)象的原因在于,大量的病毒木馬采用了黑客研究的免殺技術(shù),從而逃避殺毒軟件查殺。有關(guān)專家指出,隨著電腦互聯(lián)網(wǎng)的飛速發(fā)展,病毒與反病毒之間的較量將逐年升級,相應(yīng)地,電腦及互聯(lián)網(wǎng)安全正在遭受嚴(yán)峻的考驗。如何破解層出不窮的病毒免殺技術(shù),成為眾多電腦安全專家工作的重點。
●“隱身木馬”竊取私人信息
目前,潛伏在互聯(lián)網(wǎng)上的各類病毒木馬讓人們的恐懼心理日益加重,其中許多病毒木馬采用了免殺技術(shù),使一些殺毒軟件形同虛設(shè),由此給用戶造成的損失也在無形中增加。
微點主動防御軟件日前捕獲了一對名為Rootkit.Win32.Delf.l和Trojan-PSW.Win32.Delf.eve的盜號木馬病毒,他們可同時將用戶的QQ號碼、網(wǎng)游賬號、銀行密碼、郵箱密碼等私人信息一并盜取,這兩個木馬病毒都采用了一種名為Rootkit的免殺技術(shù),實現(xiàn)了“視覺隱藏”,使得普通電腦用戶基本無法查找到木馬程序文件,用戶從鍵盤輸入的所有密碼信息均有被盜取的危險。
微點反病毒專家田亞葵介紹,這兩個木馬病毒極為狡猾,其所用的Rootkit驅(qū)動文件采用隨機產(chǎn)生的可變文件名,以此來惡意干擾用戶進行識別,受到Rootkit視覺隱藏技術(shù)保護的盜號木馬程序Trojan-PSW.Win32.Delf.eve,即使利用WINDOWS的文件夾功能進行查找、選擇“顯示所有文件”等方法,依然無法看到該木馬程序,從而實現(xiàn)了木馬程序視覺上的完全隱身。對于此類有Rootkit保護的盜號木馬,分析和清除的難度加大,一般用戶基本無法通過手工進行清除。
目前,各類采用免殺技術(shù)的病毒木馬數(shù)量難以統(tǒng)計。據(jù)金山毒霸2007年上半年互聯(lián)網(wǎng)安全報告顯示,2007年上半年金山毒霸共截獲新增病毒樣本超過11萬種,比去年同期增加了23%。金山反病毒技術(shù)工程師李鐵軍介紹,其中有相當(dāng)數(shù)量的木馬病毒采用了免殺技術(shù),此類“免殺病毒木馬”泛濫是導(dǎo)致用戶網(wǎng)絡(luò)隱私信息遭遇威脅的一個主要原因。
正是由于“免殺病毒木馬”具有高度的隱蔽性,入侵后用戶毫無察覺,給黑客盜取用戶私人信息提供了有利條件。黑客往往通過郵件、IM工具以及網(wǎng)頁掛馬等方式將大量帶有免殺技術(shù)的木馬病毒植入用戶電腦,進而獲得用戶電腦的控制權(quán),接下來就可以對用戶電腦內(nèi)的私人信息為所欲為。
●免殺技術(shù)形形色色
其實,微點主動防御軟件捕獲的利用Rootkit手段來保護自身的木馬病毒只是眾多免殺病毒木馬中的一例。近期在業(yè)界知名度比較高的灰鴿子、AV終結(jié)者等都采取了不同的免殺技術(shù)。
微點反病毒專家田亞葵介紹,黑客研究病毒木馬的免殺技術(shù)大體可以分為兩個發(fā)展階段:第一階段實際上是在躲避殺毒軟件的“追殺”,技術(shù)核心是以躲避為主,免殺手段主要包括加殼、添花指令、Rootkit技術(shù)等;進入第二個階段,免殺病毒已經(jīng)不僅僅停留在單純躲避殺毒軟件的層面,而是針對殺毒軟件進行專門的程序編寫,以各種技術(shù)手段停止或者“殺掉”殺毒軟件。
那么,免殺病毒木馬究竟是如何對抗安全軟件的查殺呢?微點反病毒專家向記者介紹了幾種常用的手段。比如:給病毒程序加殼、添花指令,這些其實都是通過其他工具對病毒程序修改外表,來達到安全軟件無法查殺的目的,就像給病毒程序穿上一件衣服,殺毒軟件在掃描時,無法識別其是好還是壞。
還有一種就是使用Rookit技術(shù),通過服務(wù)加載使病毒程序達到隱藏的目的。所謂服務(wù)加載,通俗地講,指的就是啟動的時間較早,因為啟動時間決定誰進入系統(tǒng)比較快。如果病毒程序早于殺毒軟件啟動,就會出現(xiàn)殺毒軟件報警,但卻無法清除的現(xiàn)象。
另外,還有一些免殺技術(shù)是設(shè)法通過修改系統(tǒng)時間造成殺毒軟件過期,而無法監(jiān)控,或者通過一些特殊命令結(jié)束殺毒軟件的運行,使其無法監(jiān)控。
值得注意的是,映像劫持是目前比較流行的病毒免殺技術(shù)。這種技術(shù)是通過修改注冊表來進行操作的,病毒可以使程序自動“轉(zhuǎn)向”,打個比方:比如用戶要運行“殺毒軟件.EXE”程序時,病毒會通過映像劫持的“轉(zhuǎn)向”功能,使得用戶實際上運行的卻是“病毒.EXE”,這讓用戶很難察覺。
●斬斷免殺技術(shù)傳播渠道
目前,黑客們一方面在大力研究各類免殺技術(shù),同時還在積極利用互聯(lián)網(wǎng)的便利條件,拓展傳播免殺技術(shù)。
近日,一項有關(guān)“2007年黑客行為分析”的調(diào)查報告顯示,2007年黑客行為呈明顯上升趨勢,有近四成以上的黑客正在研究免殺病毒技術(shù),研制免殺病毒和在互聯(lián)網(wǎng)交流免殺技術(shù)已經(jīng)成為黑客們最為熱衷、追捧的行為。
金山反病毒技術(shù)工程師李鐵軍向記者介紹,目前,互聯(lián)網(wǎng)上許多網(wǎng)站公開打出廣告,宣稱教授黑客課程,用戶可以在搜索引擎上輕易檢索出成千上萬個相關(guān)網(wǎng)站。
記者根據(jù)線索登錄一家網(wǎng)站,發(fā)現(xiàn)這家網(wǎng)站給自己套上“黑客基地”的光環(huán),宣稱“長期收徒,主要教灰鴿子、抓雞、木馬制作、網(wǎng)站入侵、網(wǎng)站掛馬、木馬脫殼、免殺、捆綁服務(wù)器的制作與維護、網(wǎng)吧安全與入侵等,承接各類黑客業(yè)務(wù)”。記者與網(wǎng)站管理員取得聯(lián)系,這位管理員告訴記者,只要向指定賬號打入幾百到數(shù)千元不等的學(xué)費,就可以學(xué)習(xí)到不同檔次的課程,如果要專門學(xué)習(xí)免殺技術(shù)可以單獨教授。
有關(guān)專家指出,針對黑客免殺技術(shù)泛濫互聯(lián)網(wǎng)的現(xiàn)象,有關(guān)部門應(yīng)加強互聯(lián)網(wǎng)監(jiān)管,這是斬斷黑客傳播免殺技術(shù)的有效途徑之一。
