“我花了幾百元買的正版殺毒軟件對有些病毒為何視而不見����?”許多電腦用戶常常無奈地發出這樣的抱怨。產生這種現象的原因在于,大量的病毒木馬采用了黑客研究的免殺技術,從而逃避殺毒軟件查殺。有關專家指出����,隨著電腦互聯網的飛速發展����,病毒與反病毒之間的較量將逐年升級,相應地,電腦及互聯網安全正在遭受嚴峻的考驗。如何破解層出不窮的病毒免殺技術����,成為眾多電腦安全專家工作的重點�����。
●“隱身木馬”竊取私人信息
目前����,潛伏在互聯網上的各類病毒木馬讓人們的恐懼心理日益加重,其中許多病毒木馬采用了免殺技術�,使一些殺毒軟件形同虛設��,由此給用戶造成的損失也在無形中增加。
微點主動防御軟件日前捕獲了一對名為Rootkit.Win32.Delf.l和Trojan-PSW.Win32.Delf.eve的盜號木馬病毒���,他們可同時將用戶的QQ號碼、網游賬號�、銀行密碼�、郵箱密碼等私人信息一并盜取,這兩個木馬病毒都采用了一種名為Rootkit的免殺技術���,實現了“視覺隱藏”,使得普通電腦用戶基本無法查找到木馬程序文件,用戶從鍵盤輸入的所有密碼信息均有被盜取的危險。
微點反病毒專家田亞葵介紹,這兩個木馬病毒極為狡猾��,其所用的Rootkit驅動文件采用隨機產生的可變文件名�����,以此來惡意干擾用戶進行識別���,受到Rootkit視覺隱藏技術保護的盜號木馬程序Trojan-PSW.Win32.Delf.eve��,即使利用WINDOWS的文件夾功能進行查找、選擇“顯示所有文件”等方法,依然無法看到該木馬程序����,從而實現了木馬程序視覺上的完全隱身�����。對于此類有Rootkit保護的盜號木馬,分析和清除的難度加大����,一般用戶基本無法通過手工進行清除。
目前�����,各類采用免殺技術的病毒木馬數量難以統計�。據金山毒霸2007年上半年互聯網安全報告顯示,2007年上半年金山毒霸共截獲新增病毒樣本超過11萬種����,比去年同期增加了23%���。金山反病毒技術工程師李鐵軍介紹�����,其中有相當數量的木馬病毒采用了免殺技術,此類“免殺病毒木馬”泛濫是導致用戶網絡隱私信息遭遇威脅的一個主要原因�����。
正是由于“免殺病毒木馬”具有高度的隱蔽性���,入侵后用戶毫無察覺����,給黑客盜取用戶私人信息提供了有利條件。黑客往往通過郵件����、IM工具以及網頁掛馬等方式將大量帶有免殺技術的木馬病毒植入用戶電腦�,進而獲得用戶電腦的控制權��,接下來就可以對用戶電腦內的私人信息為所欲為。
●免殺技術形形色色
其實,微點主動防御軟件捕獲的利用Rootkit手段來保護自身的木馬病毒只是眾多免殺病毒木馬中的一例����。近期在業界知名度比較高的灰鴿子�����、AV終結者等都采取了不同的免殺技術。
微點反病毒專家田亞葵介紹�,黑客研究病毒木馬的免殺技術大體可以分為兩個發展階段:第一階段實際上是在躲避殺毒軟件的“追殺”����,技術核心是以躲避為主����,免殺手段主要包括加殼、添花指令、Rootkit技術等��;進入第二個階段,免殺病毒已經不僅僅停留在單純躲避殺毒軟件的層面���,而是針對殺毒軟件進行專門的程序編寫,以各種技術手段停止或者“殺掉”殺毒軟件�。
那么�����,免殺病毒木馬究竟是如何對抗安全軟件的查殺呢?微點反病毒專家向記者介紹了幾種常用的手段��。比如:給病毒程序加殼�、添花指令,這些其實都是通過其他工具對病毒程序修改外表����,來達到安全軟件無法查殺的目的���,就像給病毒程序穿上一件衣服,殺毒軟件在掃描時,無法識別其是好還是壞����。
還有一種就是使用Rookit技術���,通過服務加載使病毒程序達到隱藏的目的���。所謂服務加載�����,通俗地講,指的就是啟動的時間較早,因為啟動時間決定誰進入系統比較快���。如果病毒程序早于殺毒軟件啟動,就會出現殺毒軟件報警,但卻無法清除的現象��。
另外���,還有一些免殺技術是設法通過修改系統時間造成殺毒軟件過期��,而無法監控��,或者通過一些特殊命令結束殺毒軟件的運行,使其無法監控。
值得注意的是��,映像劫持是目前比較流行的病毒免殺技術�����。這種技術是通過修改注冊表來進行操作的����,病毒可以使程序自動“轉向”����,打個比方:比如用戶要運行“殺毒軟件.EXE”程序時�,病毒會通過映像劫持的“轉向”功能,使得用戶實際上運行的卻是“病毒.EXE”����,這讓用戶很難察覺���。
●斬斷免殺技術傳播渠道
目前�����,黑客們一方面在大力研究各類免殺技術,同時還在積極利用互聯網的便利條件�����,拓展傳播免殺技術��。
近日�,一項有關“2007年黑客行為分析”的調查報告顯示��,2007年黑客行為呈明顯上升趨勢�����,有近四成以上的黑客正在研究免殺病毒技術��,研制免殺病毒和在互聯網交流免殺技術已經成為黑客們最為熱衷、追捧的行為���。
金山反病毒技術工程師李鐵軍向記者介紹,目前,互聯網上許多網站公開打出廣告,宣稱教授黑客課程,用戶可以在搜索引擎上輕易檢索出成千上萬個相關網站。
記者根據線索登錄一家網站���,發現這家網站給自己套上“黑客基地”的光環�����,宣稱“長期收徒���,主要教灰鴿子�����、抓雞、木馬制作�����、網站入侵�、網站掛馬、木馬脫殼�����、免殺�����、捆綁服務器的制作與維護���、網吧安全與入侵等�,承接各類黑客業務”����。記者與網站管理員取得聯系,這位管理員告訴記者�,只要向指定賬號打入幾百到數千元不等的學費���,就可以學習到不同檔次的課程,如果要專門學習免殺技術可以單獨教授。
有關專家指出,針對黑客免殺技術泛濫互聯網的現象����,有關部門應加強互聯網監管��,這是斬斷黑客傳播免殺技術的有效途徑之一。
