瑞星2010年度安全报告
2011-01-14 14:39:53(3) 不良下载站故意传播低烈性病毒
由于本年度电子商务网站的大量增加,导致“改IE,赚广告”这种方式非常赚钱,使得很多电影下载站、网游外挂网站等都采用了这种方式。
以最近流行的《让子弹飞》电影为例,搜索在线电影网站,不难发现有这样一些网站:
图8 这个所谓的“本站专用软件”,其实就是不良程序
有些不良的在线观看网站借助安装本站专用网站的机会诱使用户安装病毒,甚至以“本站播放的是盗版电影,会遭到瑞星等软件拦截”等为由诱使用户关闭杀毒软件。年初发现的虎虎生威系列病毒变种就是以QVOD播放器下载为诱饵传播的。
(4) 病毒与杀毒软件对抗的四种手段
2010年,黑客用来与杀毒软件对抗的技术手段主要有四种:
i. 阻止杀毒软件联网,使“云安全”失去作用。
目前有多种杀毒软件为了追求“体积小、占用内存小”而采用了彻底的“云查杀”方式来对付病毒,遇到病毒时需要连接服务器,读取病毒的特征码之后再进行查杀。一旦不能联网,采用该技术的杀毒软件就变得形同虚设。
针对这些杀毒软件的“云查杀弱点”,病毒采用了各种手段切断杀毒软件的升级渠道。采用的方法有安装过滤驱动,添加IPSEC策略,添加路由表规则,添加DNS劫持,winsock组件劫持等等。最典型的当属今年流行的“狗皮膏”木马病毒。
ii. 自动增肥,给杀毒软件采集样本制造障碍
目前绝大多数杀毒软件遇到可疑文件时都会上传到服务器,对这些采集到的样本进行分析后加入病毒库,实现对病毒的查杀。
传统病毒的体积很小,这样比较有利于传播。有些杀毒软件也针对这个特点,对可疑文件的上报做了限制,超过一定大小的就不再上传;有些“云查杀”杀毒软件为了快速查杀,也主动忽略了某些较大文件的查杀,这就给病毒以可乘之机。很多病毒在复制自身的时候,会不断的向文件内写入垃圾数据,使得文件变得很大,这样就可以躲过杀毒软件的上传甚至查杀。某些病毒的体积,甚至超过100M,相当于一集电视剧的体积。
iii. 盗用正规软件签名,绕过杀毒软件查杀。
正规商业软件通常会有自己独特的“数字签名”,杀毒软件遇到带有签名的软件时会主动放过。由于有些公司对于自己的“数字签名”管理不严格,造成有的签名被病毒盗用,从而绕过杀毒软件的查杀。例如“超级工厂”病毒,就盗用了某声卡厂商的签名,让杀毒软件认为自己是正常的声卡驱动,从而躲过杀毒软件的查杀。
图9 某病毒中带有的数字签名
iv. 多种正规软件存在安全性缺陷,被病毒利用来传播
2010年,由于多种正规软件存在安全性缺陷,被病毒利用来传播。如农业银行软件ABCChina.exe运行Feitian.exe缺陷等。