网上“木马”跑 看“弼马温”如何管马

根据最新的调查显示,绝大多数的病毒威胁都来自于网络,而最常见的形式就是网页挂马了。网页本是我们获取信息的载体,怎么就成了威胁呢?是网站设计者的陷阱还是有人陷害?而同时杀软能像“弼马温”一样管好这些“马”吗?

网页:“我本善良”

很多人在遇到网站威胁时,可能都归罪于网站,但其实网站的制作者更是冤枉,除了很少网站是黑客专门制作的挂马陷阱网站外,包含木马的网站都是被黑客利用(见图1),本身就是受害者。黑客会利用扫描工具查找网站的漏洞,并实施攻击,获取管理权限,然后就可以轻松植入木马了。例如在网站中插入:＜iframe src=网页木马地址width=0 height=0＞＜/iframe代码＞,这样当电脑访问网站时就会自动弹出木马程序(现在网页木马可以实现后台运行模式),让浏览的电脑用户运行木马。

要保安全 需知“管马”三招

了解了这个情况,很多人又开始问了,木马如何防御呢?那些杀毒软件怎么知道网页被植入木马了呢?其实网页木马不是新的品种,它和普通木马的区别只是载体的不同,以前都是放在文件、邮件中,现在大家的防范意识高了,浏览网页的频率也高了,所以黑客将木马代码放在网页上,增加感染机会。

理解了这个,安全软件防御网页木马的过程也就出来了,他们防御的原理是一样的,只是途径要首先在网络传输中完成。目前,主要的方式有以下三种

1.攻击代码识别:如果网页中被植入了木马,那么在传输中,安全软件就可以先检测代码,如果它的特征属于木马,那么就会提示网页不安全,并进行拦截了。

2.行为识别:前面是简单的代码特征检测,而高级一点的方式就是分析代码的行为,不单单考察特征。如有程序对系统目录进行修改,一起删除整个分区文件等这些危险操作,那么杀毒软件都会认为有病毒攻击,从而加以阻止这些网页。

3.中毒清理:网页木马攻击成功后会释放木马程序到用户计算机中,木马程序一般会生成DLL文件、修改注册表等操作,杀毒软件检测到这些,就会提示用户某些程序是病毒程序,与用户互动实现对木马运行的阻止(见图2),算是网页木马的后期防御。

火速连接

关于网页木马的防御可以参考2009年第12期《网马随处“跑” 手动如何“逃”》和11期《欲练此功必先自功 另类电脑防护》。

现代社会现代化“管马”

针对网马攻击还有一种简洁的防御软件:外挂式浏览器防御软件,如金山网盾。此类防御系统对木马的防御原理与杀毒软件的防火墙基本相似,访问含有网马的网站时,外挂防御系统会对IE、FireFox等浏览器的Cookies进行内容过滤保护,从而过滤网马自我释放的程序,从攻击行为防御上实现对0-DAYS类的攻击防护。

进入云安全时代,网页木马的防御也有了新的应用,例如,诺顿、迈克菲等安装软件增加了网页安全的预检测机制,当我们在谷歌等搜索引擎中搜索时(谷歌也推出过安全浏览功能,是利用算法来分析网页本身,有威胁的会给予提示),在结果信息的返回过程中,安装在浏览器中的安全组件会先对返回的网页进行预读,并首先对比已知的安全网页名单,如果没有则重新检测,一旦发现威胁就将结果直接在搜索结果类别中列出(见图3),这也就是使用这类软件搜索时,结果出现的时间会落后一秒的原因。云安全的引入,将这些检测更加快速,例如一旦发现某个网站挂马,那么这个信息就会迅速与全球用户共享,其他人浏览到该网页就会提示有木马,阻止网民浏览,当然,当检测到该网站消除了木马威胁后,这个网站也就又放行了。

小提示

当然一些网络木马也想出了很多怪招来躲避安全软件,有兴趣的读者可以登录.cn/index.php/346164/viewspace-1080585看《网页木马的诡计》一文。