注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

金山印象

金山软件官方博客

 
 
 

日志

 
 

你死我活的对抗:杀毒软件与AV终结者  

2011-06-28 10:52:36|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

  作者:李铁军     金山软件 · 北京
  做杀毒软件近10年来,有一个病毒给我留下的印象最为深刻,这是一类从2007年泛滥至今的恶性病毒。这类病毒从它诞生之日起,就没有停止过和杀毒软件的对抗。它不象别的病毒,在和杀毒软件的对抗中采取守势或灵巧的绕过,而是坚持不断的改进,在入侵系统的同时,就试图将杀毒软件一举消灭,它就是AV终结者病毒。

  AV终结者的出现
  2007年5月,还是盗号木马泛滥的时代。在一段时间以内,市面主要流行的安全软件全部遭遇病毒集团的反击。如果不是比较关注安全,绝大部分用户根本没意识到电脑被攻击。中毒用户发现时,往往是在线游戏装备被盗。而2007年,还是网页挂马严重泛滥的一年。

  回头分析一下当年网民所面临的风险:
  1.在线游戏方兴未艾。
  网购用户远比现在少,在线视频也受带宽的限制,只能看非一般清晰度的视频。大部分网民当时的下载速度在100KB/s左右,一部电影要下几个小时,一部电视剧要下几天,提供可以看得上眼的在线视频网站非常少,电脑城里卖盘的很火爆。
  网络条件限制了网络应用,网游吸引的用户群占据主流,网民在游戏中消耗的时间令其它互联网企业嫉妒不已。

  2.游戏的兴盛,使游戏周边产业火爆
  游戏代练工作室培养了大量金币农夫,线上线下的装备交易非常活跃,很多人在网吧玩儿网游,热门网游里有大量职业玩家,游戏一开始,就在其中经营各种虚拟道具,好的游戏装备根本不愁卖。

  3.盗号产业异常活跃
  活跃的道具交易市场,大量廉价的金币农夫,许多类似于史玉柱的老板们带一个帮会,在游戏中一掷万金。盗号产业的从业者既不想当金币农夫,又想痛痛快快捞钱,他们的头脑中就一个字“偷”。

  4.其他外部环境:
  浏览器相关组件的漏洞多得补不过来,出个漏洞,制个挂马网页,再入侵一批网站把挂马代码一挂。或者,买断一些大流量的娱乐网站,把木马挂上边,就等着鱼儿上钩。

  一个经典的0DAY一出,几小时内挂马网页就会出笼,中马率高达50%,杀毒软件是盗号产业链唯一需要抗衡的对手。或许是某个作者烦透了做免杀,突发奇想:直接灭掉杀毒软件好了。就这样,AV终结者出现了。

  AV终结者的手段
  最常用的招数,遍历进程中,发现有杀毒软件相关进程名,立刻尝试结束进程、删除文件。杀掉进程还不过瘾,再把注册表中杀毒软件的启动项删除,服务删除,用映像劫持将数十种杀毒软件对应的文件名添加到禁止运行的列表。
  想到Windows安全模式修复更是没门,一到安全模式就蓝屏。可能有用户会感觉到中毒,决定去搜索一些答案,看看有没有别的方案解决。结果只要页面有杀毒字样,浏览器就自动关闭。想用任务管理器和注册表编辑器手动操作,同样不行,管理工具一打开就会被立刻关闭。
  高手会想到用冰刃,也没用,冰刃也和杀毒软件一样,被加入打击清单,一运行就关闭再删除文件,好象用户只剩下重装这一条路。

  AV终结者成为最重要的病毒分发渠道
  在病毒和杀毒软件的对抗中,杀毒软件更被动,理由:
  1.杀毒软件相对于病毒来讲,种类太少,就那几个流行品牌。要按特征码辨认杀毒软件,才不过几十个,上百个而已,而病毒却有几十万个。
  2.病毒从来不在乎程序BUG,系统蓝了就蓝了。而杀毒软件要面向数百万用户,任何一个大的改动,势必小心谨慎。
  很快,AV终结者成功在很短的时间内成为病毒中的王者。只要用户不幸浏览挂马网页,一个免杀的AV终结者病毒进入系统,杀毒软件立刻被结束进程,重启后,连加载项都被禁止,中毒电脑成为完全不设防的系统。
  于是,很快AV终结者发现,灭掉了杀毒软件,自己就是系统的王者,想推什么病毒就推什么病毒。小病毒团体必须向AV终结者传播者交纳保护费,通过AV终结者的传播渠道分发,AV终结者成为病毒分发渠道王者。

  杀毒软件和AV终结者的游斗
  看起来,不想让用户重装的话,只有专杀工具这唯一的路。在AV终结者专杀发布之后,很快发现,AV终结者病毒又升级了,专杀同样被病毒杀掉。而且发现,病毒是对杀毒软件的数字签名来匹配特征的,只要用杀毒厂商的签名,这个程序就会被杀掉。
  专杀工具只好去掉数字签名,并且,被迫修改程序标题栏为随机字串,避免被病毒匹配到被结束进程。就这样,双方你来我往斗了4年。

  AV终结者的退却是网络环境综合作用的结果
  我不认为AV终结者的减少是杀毒软件一家之功,这其中警方的力量不可低估。警方破获了多起特大盗号木马集团案,比如大小姐木马案、伯乐马集团案等等,案值均在数千万元之巨。据犯罪集团自己交待,生意最火爆时,一个月就有1000万的收入。
  这一类病毒的消退,微软同样很给力,IE越来越安全,挂马也变得越来越困难。并且,网民数量增长迅猛,在线视频和网购都吸引了大量人气。既然赚钱的机会如此之多,干嘛非得跟杀毒厂商较劲玩对杀,直接做网购木马和钓鱼网站多简单,来钱也很猛。
  另一个重要原因是金山网盾类的防挂马工具日见成熟,使得挂马网页的中马率直线下降。中马率的降低自然令病毒集团购买流量 的投入打了水飘。

  有一组数据可以让你改变对钓鱼网站的看法:
  我们统计过大约一周有800万台次左右的PC曾经拦截或发现过病毒,而一周内曾经访问钓鱼网站的次数则有1.7亿次。访问钓鱼网站的次数大约是中毒次数的20倍。
  写一个病毒也许需要好几天,而做一个钓鱼网站只需要1分钟。
  于是,我们都看到了,AV终结者变少。尽管后来,又出了比AV终结者更猛的磁碟机病毒。AV终结者至今仍然试图攻击杀毒软件,当然,这个过程变得越来越难了,云杀毒软件的兴起,给病毒传播的时间越来越短,双方对抗的成本都在增高。
  在病毒越来越趋利的今天,与杀毒软件对抗的时间,上千个钓鱼网站都做出来了。
  因此,我们看到的现状就是,钓鱼网站如雨后春笋,越来越常见。

  评论这张
 
阅读(232)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017