传统木马的特点:
1.隐蔽性好
2.通常只改写几个、几十个注册表加载点(run键值,service服务,驱动),这些加载点已经被安全软件严密防守。
3.通常不感染系统文件
4.通常不具备主动传播性
5.利用网页挂马,木马下载器,欺骗下载等方式传播。
6.删除木马文件即可简单清除。
木马的变革——绑架型木马来势汹汹
绑架型木马与传统木马的显著区别:
通过“绑架”正常的系统文件或某个正常的应用软件实现自启动
强行修改用户浏览器主页、强迫用户浏览恶意网站等
绑架型木马还可以破坏系统核心组件,简单删除木马程序会造成更多异常
2010年之前,绑架型木马已经出现,但并没有大规模爆发。进入2010年,绑架型木马增长迅猛,仅2010年前9个月即新增绑架型木马943862个,占据新增木马的84.2%。
绑架型木马产生的背景
传统木马的启动方式已被成功防御
传统木马主要借网页挂马传播,以盗号、导流量获利,而现在网页挂马几乎没人用了
注册表关键位置防御很容易发现木马的藏身之地
成熟的木马查杀技术令传统木马难以生存
木马的赢利模式趋于多样化,与钓鱼网站勾结、流氓推广更常见
与钓鱼网站勾结,先通过木马“绑架”用户,强迫用户访问骗子指定的钓鱼网站
锁定浏览器主页,绑架用户上网入口,通过出售网络流量的方式进行牟利
通过篡改桌面图标、修改快捷方式、篡改用户浏览器收藏夹等办法“绑架”用户强行访问某些购物类网站
绑架型木马的特点
启动方式防不胜防,破坏众多系统组件、彻底删除更加困难。 绑架型木马可以通过“绑架”正常的系统文件或由某些正常软件启动来运行。绑架型木马的加载方式由原来的几十个,几百个,演化到无数个。
破坏系统组件,不能用简单删除的方法来解决。 简单删除木马程序之后,会出现各种各样的系统异常: 应用程序无法运行,运行时报错,甚至出现系统崩溃。
被绑架型木马入侵后的用户感受
杀毒后总出错,还不如重装
集中表现为五大特征:
浏览器首页被篡改、桌面恶意图标无法删除、桌面快捷方式被篡改、浏览器收藏夹异常以及部分网页打不开等。
绑架型木马最常攻击的系统应用
DX相关组件
游戏客户端组件(DNF\WOW\永恒之塔)
输入法组件损坏:
1.木马并不开机就运行,而是切换输入法时由热键调用。
2.查询打不了汉字的情况非常多
VB,VC运行库,.net运行库相关的DLL丢失
浏览器相关组件丢失,浏览器打不开网页
QQ相关软件
迅雷等下载工具
Flash组件(网页游戏、视频)
播放器相关组件(Windows Media Player及其它众多播放器)
360
相关软件