“金山安全2010木马发展趋势报告”之“绑架型木马”

本文关键词：金山；绑架型木马

自1986年世界上出现第一个计算机木马至今，20年间，木马已经成为了用户电脑安全的主要威胁，互联网每天新增的木马数量已经近万个。伴随着反木马技术的不断发展，木马制作者为了逃避杀毒软件的追杀，在传播方式、破坏方式等方面也随之不断创新。

从不具备感染性和主动传播性的传统木马，到隐蔽性、危害性更强的感染型木马，传统的木马查杀技术已经可以帮助用户有效地拦截这些木马的入侵。而近年来最新出现的“绑架型木马”，尤其是2010年以来，绑架型木马增长迅猛，几乎占据了互联网新增木马的主流。无论是木马启动方式，还是对用户电脑系统的破坏性，绑架型木马均超出了传统木马以及感染型木马。而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。

什么是绑架型木马?

绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同，绑架型木马通过“绑架”正常的系统文件或某个正常的应用软件实现自启动。运行后，该类木马会通过“绑架”用户的方式，强行修改用户浏览器主页、强迫用户浏览恶意网站等。同时，绑架型木马还可以破坏系统组件，杀毒软件在简单删除木马程序之后，会出现各种各样的系统异常，而与之相关的应用程序也无法正常运行，甚至出现系统崩溃。

绑架型木马的出现背景

绑架型木马的出现是木马制作者寻求新的盈利模式、逃避杀毒软件追杀的必然产物。

1.木马“盈利模式”的变革催生破坏型木马的诞生

2008年，黑客发现利用系统漏洞以及应用程序的漏洞在用户不知情的状态下，下载木马运行，从而通过游戏盗号、劫持主页、刷流量等非法手段，从中获得暴利。从2008年开始到2010年，各大安全厂商纷纷推出防挂马技术，木马很难轻易进入用户电脑，因此，网页挂马等传播木马的方式逐步减少。

黑客为了继续牟取经济利益，进而转向通过软件捆绑等比较隐蔽的方式运行，同时木马作者非常了解操作系统和应用软件运行时程序之间的相互依存关系，木马开始越来越多地破坏系统文件、应用程序组件或系统配置，也就是我们所说的绑架型木马出现了。绑架型木马最显著的特点就是木马启动运行的方式发生变革，从原来的几个、几十个系统加载点，转变为成千上万种。

2.现有的木马查杀技术已经让传统木马无法生存

随着杀毒软件对系统监控点的防御增加，木马运行起来后，在一些系统关键位置可能就会被杀毒软件发现并查杀，系统常用来启动加载程序的敏感位置也被安全软件监视，传统木马很难突破这些监控。

为了能让木马运行起来，木马必须先替换掉正常的系统文件或第三方常用软件，借操作系统文件和应用软件的组件来存活。当运行某些系统功能或需要运行某特定的应用程序时，木马也就随之被运行起来。

绑架型木马背后的经济利益

绑架型木马已经成为了木马制作者牟取经济利益的主要手段。据保守估计，绑架型木马产生的经济利益已经超过了10亿。绑架型木马的盈利模式主要包含以下几种：

1.与钓鱼网站勾结

先通过木马“绑架”用户，强迫用户访问骗子指定的钓鱼网站。

2.锁定浏览器主页

通过对浏览器主页的锁定，换取网络流量，并通过出售网络流量的方式进行牟利。

3.帮助某些购物网站进行推广

通过篡改桌面图标、修改快捷方式、篡改用户浏览器收藏夹等办法“绑架”用户强行访问某些购物类网站。

绑架木马的特点

防不胜防、破坏性强、难以彻底删除。

1.绑架型木马可以通过“绑架”正常的系统文件或某个正常的应用软件的方式启动，在这个过程中，可以被绑架型木马利用的正常的系统文件或软件不计其数，防不胜防。

2.破坏系统组件，简单删除木马程序之后，会出现各种各样的系统异常现象，与之相关的应用程序无法正常运行，甚至出现系统崩溃。比如游戏不能运行，提示缺少某个DLL文件，系统莫名地出错或很慢。

绑架型木马的数量变化

2010年之前，绑架型木马已经出现，但并没有大规模爆发。进入2010年，绑架型木马增长迅猛，仅2010年前9个月即新增绑架型木马943862个，占据新增木马的84.2%。

感染绑架型木马后用户电脑特征

因为绑架型木马的强大破坏性，一旦用户感染了此类木马，传统的杀毒软件很难彻底清除，即使删除了木马文件，用户的系统也会出现很多“后遗症”。金山安全中心最新统计数据显示，感染了绑架型木马之后，用户电脑集中表现为五大特征：浏览器首页被篡改、桌面恶意图标无法删除、桌面快捷方式被篡改、浏览器收藏夹异常以及部分网页打不开等。

绑架型木马的防护

基于绑架型木马防不胜防、破坏性强、难以彻底删除等特点，传统的杀毒技术在对绑架型木马文件进行查杀后，经常会出现各种各样的系统异常，而与之相关的应用程序也无法正常运行，甚至出现系统崩溃。

传统的杀毒技术在绑架型木马面前显得力不从心。金山安全中心结合绑架型木马的特点，经过近半年的研发与测试，最新推出的金山毒霸SP3版本，正式启动了“三引擎”查杀技术：可信云查杀引擎、蓝芯II本地引擎、系统修复引擎，有效帮助用户修复了绑架型木马被删除后的各种“后遗症”。

传统的杀毒软件通常使用单一杀毒引擎，近年来，也出现了双引擎的杀毒软件，而金山毒霸SP3版本特别结合了木马发展趋势的变化，增加了系统修复引擎。

1.可信云查杀引擎

金山毒霸2011引入可信云查杀超前理念，将用户端和云端海量样本库完美融合，安装程序仅为20MB左右，内存占用约19MB，体积虽轻巧，查杀准确度却更高，对新病毒的响应在秒级完成，为用户电脑安全提供更有效的保护。

2.蓝芯II本地引擎

金山毒霸2011采用新一代蓝芯II本地引擎，不但对未知病毒的识别能力极高，扫描病毒的速度也得到大大提升，非首次扫描速度可达1000个文件/秒。更为难得的是，金山毒霸2011对系统资源占用极低，即便进行杀毒，同时操作电脑也不会“卡”。

3.系统修复引擎

针对越来越多替换系统文件、修改系统配置的病毒，金山毒霸特别加入系统修复引擎，在一次快速查杀完成木马程序文件清除的同时，将木马破坏的系统文件、系统注册表配置等等成功修复。用户无需重装即可恢复系统到正常状态，避免因重装造成数据丢失的麻烦。

绑架型木马最喜欢攻击的系统应用

1.输入法

病毒木马伪装成输入法组件，或者感染输入法组件，病毒并不在开机后立即运行，而是在用户切换输入法时调用，非常巧妙地避开了安全软件对敏感加载点的防御。

2.篡改桌面图标

很多人并没有留意桌面快捷方式图标也是病毒木马藏身之处，被篡改后的图标看上去只会有一点点异常。因为并不以文件的方式存在，用户删除不掉的情况下，甚至逐渐接受了这些奇怪的快捷方式。

3.DirectX组件

这是游戏软件运行时必须依赖的公共组件。病毒并不一开机就加载，而是当玩家玩游戏时才运行。一旦杀毒软件删除了病毒文件，玩家却发现游戏玩不了了，而用户会认为是杀毒软件的问题。

4.聊天工具QQ相关的依赖组件

许多人买电脑后第一个要安装的软件就是QQ，而破坏性木马直接改写QQ相关的组件，比如QQ、QQ游戏等组件。这样，木马在QQ的相关程序运行时才启动，也是很巧妙的招数。简单删除这些破坏性木马，用户就会出现QQ游戏进不去，QQ餐厅进不去。

5.浏览器相关组件

破坏性木马会伪装成IE插件，或者感染IE浏览器运行所依赖的组件，简单删除后，会导致IE内核的浏览器均出现异常。

6.VB、VC运行库、.net运行库

大量应用软件依赖这些组件，而且每台Windows主机里都有这些组件。经常看到有用户询问mfc71.dll、msvcr71.dll找不到之类的问题。

7.编写一些vbs脚本，调用病毒dll

中毒后的电脑经常会出现rundll加载出错，以及runtime error之类的消息。

8.破坏flash相关组件

破坏性木马损坏flash相关组件之后，会影响网民观看在线视频，QQ农场、牧场不能登录等等。

9.伪装成桌面主题或桌面小工具之类的软件欺骗安装

表面上提供微不足道的小功能，实际上干着木马盗号的勾当。简单删除会导致桌面显示异常。

10.电子商务服务

经常在桌面生成一些电子商务网站有关的快捷方式，欺骗网民浏览“淘宝客”之类的网站。一不留神就可能掉进钓鱼网站的陷阱。

最常被绑架型木马利用的十大软件

通过对绑架型木马行为的跟踪研究，以及对感染此类木马的用户反馈结果的统计分析，集合软件自身的占有率，列举出了十款最常被绑架型木马利用的软件。

1.浏览器

2.输入法

3.360相关软件

4.下载工具

5.QQ相关软件

6.FLASH(网页小游戏、视频网站)

7.压缩软件(winrar好压)

8.播放器相关软件

9.DNF

10.WOW