科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道机器狗肆虐!第三方软件成木马新宠

机器狗肆虐!第三方软件成木马新宠

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,一种近似于“冲击波”、“熊猫烧香”影响力的病毒在大江南北的网吧场所和个人家庭开始泛滥。令网管人员不解的是,这种病毒竟然可以穿透还原卡和冰点,自动和手动还原系统都不能清除。

作者:朱泉峰 来源:计世网 2008年5月25日

关键字: qihu360

  • 评论
  • 分享微博
  • 分享邮件

  计世网独家(记者朱泉峰)近日,一种近似于“冲击波”、“熊猫烧香”影响力的病毒在大江南北的网吧场所和个人家庭开始泛滥。令网管人员不解的是,这种病毒竟然可以穿透还原卡和冰点,自动和手动还原系统都不能清除。

  人们纷纷在论坛和博客上发出求助信息:“这是什么病毒?我该怎么办?”难道说新的安全隐患已经出现?

  “机器狗”病毒肆虐

  

  360安全中心负责人傅盛通过监测发现,这种可以穿透各种还原软件与硬件还原卡的病毒可以通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现开机启动和隐藏自身的目的。

  曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫“机器狗”。

  其实,“机器狗”本质是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户账号的安全。“作为一个典型的网络架构木马型病毒,此病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的账号信息。”傅盛补充解释说:“制作机器狗的人主要是想窃取用户的虚拟财产,包括网游账号和装备等。”

  目前广泛流传的“机器狗”木马及其变种,均是通过网页挂马的形式入侵,用户在浏览网页时就会不知不觉被植入木马,而这些木马一旦进入用户电脑中,会不断从后台下载更多新的木马,数量甚至高达数百个。

  “被利用的网页漏洞多为ActiveX漏洞,只要用户电脑中安装了存在漏洞的软件版本,当用户在浏览网页时,木马将会利用这些漏洞,偷偷植入用户电脑,这些木马进入用户电脑的第一件事就是破坏电脑中安装的杀毒软件等安全工具。”

  显然,如果“机器狗”已经植入用户的电脑,并且除掉了杀毒软件的防御功能,那么等待用户的将可能是无止尽的重装操作系统。

  软件漏洞是隐患

  自从2005年以来,网络安全领域一直存在着一个争论:被动防御和主动防御哪个更适合于用户?如果采取被动防御,那么只能在病毒和木马进入电脑之后查杀,对于没有样本和解

  决方案的病毒和木马将无法清除;如果采取主动防御,那么将始终监控电脑的信息输入输出,既影响程序的执行效率,也将占据电脑的大量资源。

  现在多数安全厂商的解决方案是发现木马进入后,对已知木马进行查杀,对于未知木马则难以提供及时的查杀办法,并且当软件被破坏之后,用户的电脑将处于完全被木马控制的情况下。

  “首先应该从源头上遏制木马传播途径,传统的滞后查杀方式将会给用户的财产安全带来巨大的隐患。网民已经吃到了这种新入侵方式的苦头。”360安全中心监测数据显示,近期“机器狗”的查杀量一直高居不下,每天达数十万次,360百科中相关讨论帖也在短期内达数千个。据不完全统计,“机器狗”的黑色产业数额已经高达数千万元,不亚于“熊猫烧香”。

  “其次和木马做斗争,用户的安全意识非常重要。木马制造者看中了第三方软件漏洞这个"隐蔽"渠道,而国内用户对软件漏洞往往掉以轻心,这就造成了机器狗屡杀不止的现象。”傅盛分析说。

  “另外,随着"机器狗"等的肆虐,第三方软件漏洞已经成为木马传播的最重要途径之一。”360安全中心监测到包括RealPlayer、暴风影音、PPStream、迅雷、联众世界、百度搜霸工具条、AdobeReader、Qvodplayer 、PPLive、Flash player、Skype、QuickTime、超星阅读器13款知名软件的部分版本均存在多个安全漏洞。

  采取安全措施堵后门

  

  针对用户的迫切需求,2月21日奇虎公司发布了最新的360安全卫士4.0版,支持清除和防御各种“机器狗”病毒。

  首先,新版本增加了对常用

  的第三方软件漏洞的监测机制,除了定期提醒用户升级最新版本外,对于有漏洞的软件,将在第一时间提供临时的解决方案。同时,增强了网页防漏功能,将拦截自动执行的可疑程序,有效防止木马通过IE以及一些常用软件漏洞来入侵系统。

  其次,提供了Windows、Office补丁完全集中管理。对于网管来说,补丁的管理和分发是个头痛的问题,虽然有不少商业软件可以办到这一点,但一来他们都很庞大且效率不高,二来这些软件的价格昂贵。但通过360安全卫士能轻松批量搞定,不管是Windows还是Office补丁,都不在话下。

  第三,内置免费的ARP防火墙升级到2.0版。囊括了其他同类收费ARP防火墙的全部功能,比如双向拦截ARP攻击、拦截IP冲突等。

  通过记者的个人使用发现,4.0版本的更新是相当人性化的,譬如“一键搞定装机软件”的功能,支持用户把各种补丁和常用软件一次性安装和管理。值得一提的是,4.0版本在木马查杀的专业化和精确度方面有了很大提升。

  傅盛还是提醒广大网民,要及时为系统打补丁,及时修复软件漏洞,及时升级安全软件。因为近两年国内的“木马产业链”已经形成,只要有利益的驱使,新的安全隐患就会被唯利是图的组织和个人使用,而受害的还是普通网民用户。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章