这年头几乎每周都会爆出新的报道,主题是某家财力雄厚的大型蓝筹公司遭到数据泄密事件。这些公司通常购买并部署最先进的安全工具,可是攻击者照样能够突破它们的层层防线。更不糟糕的是,许多攻击常常长达数个月没有被发现。不妨看看这种情况是如何发生的。
攻击途径
每次泄密事件必须利用至少一种攻击途径,才能将持续性恶意软件安装到受害组织的网络上。手法老到的攻击者经常使用多阶段恶意软件,最初只是安装小小的后门而已。这让更复杂的工具之后得以部署到机器和网络上。
可以使用几种攻击途径,实现主恶意软件的安装,有时也被称为感染。其目标始终是运行恶意代码。一些最常见的攻击途径如下:
•基于浏览器的社会工程学伎俩: 用户受诱骗点击貌似合法的URL,该URL利用了Java和Flash中浏览器或浏览器插件的安全漏洞,进而触发代码执行操作。更先进的攻击可以隐藏在合法流量当中,根本不需要任何用户交互。这些通常被称作路过式下载。
•基于电子邮件的社会工程学伎俩和鱼叉式网络钓鱼: 用户收到含有隐藏或可见的二进制代码的电子邮件,一旦用户点开邮件,代码就会执行。
•登录凭据盗窃: 被猜中或被盗窃的登录凭据被用来访问远程机器,并执行(恶意)代码,比如安装后门。
规避手法
为了逃避检测,恶意软件会在安装过程中及安装之后采用五种主要的手法。
•包装。 这个过程将恶意载荷(安装程序或恶意软件本身)附加到合法文件上。合法文件被安装后,恶意载荷一块安装(通常在合法文件安装之前安装)。利用静态特征来检测包装文件基本上没有效果,因为新的文件可轻松定期创建,而且常常生成误报。通过盗版软件和P2P网络分发的Windows和OS X恶意软件通常采用这种手法。IceFog是一种众所周知的恶意软件,它通常用貌似合法的CleanMyMac应用程序来包装,用来攻击OS X用户。在Windows平台上,OnionDuke与通过Tor网络共享的合法的Adobe安装程序结合使用,以感染机器。
•混淆。 这是指篡改高级代码或二进制代码,并不影响代码的功能,但是完全改变了其二进制特征。混淆最初用来保护合法软件避免反向工程和盗版。恶意软件作者采用了这种手法来绕过反病毒引擎,扰乱手动安全研究。使用XOR编码是实现混淆的方法之一。隐藏进程及文件名、注册表项、URL以及其他有用信息,可以大大减慢对新的恶意软件样本进行调查/反向工程的进度。
•压缩工具。 这些软件工具被用来压缩和编码二进制文件,这是另一种混淆手段。压缩工具通常嵌有恶意二进制代码,它在运行时会将载荷“解压缩”到内存中,并执行它。如今使用几种常见的压缩机制,比如UPX、PECompact、Armadillo及其他此类工具。这种手法在规避静态特征引擎方面极其有效。
•反调试。 就像混淆那样,反调试最初是软件开发人员为了保护商用代码避免反向工程而开发的。反调试可以防止二进制代码在虚拟机、安全沙盒及其他仿真环境中被人分析。比如说,ZeroAccess恶意软件采用了一种自调试手法,目的是为了阻止外部调试活动。另一个例子是恶意软件企图长时间地延迟执行(或睡眠)。这一招适用于绕开沙盒解决方案,因为这种解决方案只能将二进制代码在仿真环境下保持一段时间,然后将它们分类为良性代码,将它们释放到网络上。
•瞄准。 实施这种手法的前提通常是,恶意软件旨在攻击某种特定类型的系统(比如Windows XP SP 3)、应用程序(比如Internet Explorer 10)及/或配置(比如检测到未运行VMWare工具的机器,这常常表明使用了虚拟化技术)。瞄准手法确保只有在达到特定的条件时,才触发并安装恶意软件,这让恶意软件能够规避沙盒中的检测,因为它们不像受到攻击的主机。
正如恶意软件的规避技术不断发展,我们的安全措施也要与时俱进。如今业界在开展大量的工作,旨在从传统的基于特征的静态安全方法,改为基于行为的剖析、分析以及安全解决方案之间的实时信息共享。我们在研究分析上述恶意软件手法后明白的一个道理是,我们让落实的安全措施越靠近被瞄准的资产,就越有可能检测并阻止恶意软件。
英文:How Malware Bypasses Our Most Advanced Security Measures
怎样可以防木马详细说说!
安装好杀毒软件,防火墙等。定期杀毒。
安装360,专门针对各种恶意程序进行查杀和删除,与杀毒软件比在对付恶意程序方面作用更为明显,检测并修复各种漏洞也显得更为有效,在联网状态下,启动后就可更新升级。
同时最大限度的避免光顾那些不明网站。
当然道高一尺时,魔高一丈,高额利润的驱动下,黑色程序始终会想出各种办法通过“口”进入电脑从而控制电脑,斗争还在继续。
(一)杜绝传染渠道
病毒的传染无非是两种方式:一是网络,二是软盘与光盘。如今由于电子邮件的盛行,通过互联网传递的病毒要远远高于后者。为此,我们要特别注意在网上的行为,不要轻易下载小网站的软件与程序。 不要光顾那些很诱惑人的小网站,因为这些网站很有可能就是网络陷阱。另外还要:
1、 不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。
2、 写保护所有系统盘,绝不把用户数据写到系统盘上。
3、 安装真正有效的防毒软件,并经常进行升级。
4、 对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用。
5、 尽量不要使用软盘启动计算机。
6、 一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然。
10、随时注意计算机的各种异常现象(如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等),一旦发现,应立即用杀毒软件仔细检查。
11、对于软盘,光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件。可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令。
(二)平时的积极预防,定期的查毒,杀毒。
在病毒和反病毒技术的较量过程中,病毒总是领先一步,先有病毒,然后有反病毒。新的病毒层出不穷,而老的,旧的杀毒软件在新的病毒面前可能束手无策。好在目前大多杀毒软件都提供了让用户自己升级的能力,这样就要多多的留心收集报刊,杂志中的反病毒公告,。如果有条件,最好多准备几种杀毒软件,进行交叉杀毒。还有就是平时留心病毒的发展动态,譬如目前流行的CIH 病毒,知道了它的发作条件是每月的二十六日,那么在不能确定自己的电脑是否被CIH病毒感染的时候,最简单的做法就是每月的二十六日不用机器,或通过更改电脑的日期跳过二十六日这一天。
想要知道自己的计算机中是否染有病毒,最简单的方法是实用较新的反病毒软件对磁盘进行全面的检测。
四、 病毒之后的解决办法
① 在解毒之前,要先备份重要的数据文件。
② 启动反病毒软件,并对整个硬盘进行扫描。
③ 发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。
④ 某些病毒在Windows 98状态下无法完全清除(如CIH病毒就是如此),此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。
可以随时随地防护任何病毒反病毒软件是不存在的。随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的。具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。而及时升级反病毒软件的病毒代码则是加固第二道防线的唯一方法。
五、 恶意网站的处理
我们经常会遇到IE被修改了,或注册表不能打开了,开机后IE疯狂地打开窗口等等。看来恶意网站流毒不浅。下面我们就来看看如何与“恶意网站”斗争到底吧!
(一)防御
★知己知彼
如何判断自己是遇到了恶意网站的攻击,症状多种多样:
1. 开机自动登录网站。
2. 启动IE,自动登录网站,无法修复主页设置。
3. IE不断打开窗口。
4. 修改[主页]按钮和[搜索]按钮。
5. 修改右键菜单,甚至屏蔽右键菜单。
6. 更改收藏夹的内容。
7. 安装自动拨号程序。
8. 自动安装木马程序。
9. 自动格式化硬盘或删除某个文件夹中的所有文件。
10. 更新文件关联和锁死EXE程序。
11. 锁死注册表。
当电脑出现一个恶意程序时怎么办?
拒绝啊!你最好在安全模式下杀毒,重启电脑时,按住F8就进入电脑的安全模式了,下面的都是完美破解版或免费版的,注意要及时升级杀毒软件的病毒库,瑞星杀毒软件2008版(内附序列号)是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。 瑞星个人防火墙 2008 20.23.00附瑞星2008 20.23.40 增量包,简体中文标准版。 瑞星升级保姆 2.30e For2007本软件只是躲过ID验证,直接启动瑞星的升级程序,所有病毒库数据都是直接读取瑞星官方的,跟官方一秒不差。 。 这个软件会被瑞星当病毒查杀,其中原因你自己想想是为什么了瑞星升级宝宝 For瑞星2008 101a可以免ID无限次升级杀毒和防火墙,简体中文绿色免费版QQ医生 V1.5.6.201.0是腾讯公司发布的针对QQ帐号密码被盗问题所提供的一款盗号木马查杀工具。 卡巴斯基(Kaspersky) KAV 7.0.1.321 MP1.附带可用KEY,麦田守望者汉化特别版卡巴斯基KIS V8.0.0.99 Beta全中文安装、支持中英文切换,麦田守望者汉化版。 木马克星2007 build 1230.反黑客杀木马工具,可以查杀8122种国际木马,1053种密码偷窃木马.病毒库更新至 安全卫士3.7.0.1005(1.0.1.1576).拥有查杀流行木马、清理恶评及系统插件,管理应用软件,系统
怎么样预防木马,病毒的侵害?
做到下面八点,基本上你的电脑就和病毒无缘了:1、不上垃圾网站2、不打开来路不明的邮件和文件3、但有U盘或者移动硬盘插入电脑要免疫和杀毒4、下载文件一定要扫描病毒5、及时安装微软发布的补丁6、玩游戏不要使用外挂之类的软件7、安装杀毒软件和保护软件并及时更新8、把浏览器的级别提高到中级
下面是我摘自网络:
在万无一失的情况下,为了做到让系统安然无恙、强壮有劲,这也是继清除病毒木马从它的寄生场所开
始一文关键的一步:多管齐下安全为先。为了保证你上网无后患之忧,为了阻止任何一种木马病毒或者
流氓软件进入我们的系统以及恶意代码修改注册表,建议采取以下预防措施。五大预防措施:
1:不要随便浏览陌生的网站, 目前在许多网站中,总是存在有各种各样的弹出窗口,如:最好的网络
电视广告或者网站联盟中的一些广告条。
2:安装最新的杀毒软件,如卡巴斯基最新版,KV杀毒软件,瑞星杀毒软件等一系列杀毒软件,这些软件
能在一定的范围内处理常见的恶意网页代码,还要记得及时对杀毒软件升级, 以保证您的计算机受到持
续地保护;
3:安装防火墙,有些人认为安装了杀毒软件就高忱无忧了,其实,不完全是这样的,现在的网络安全威
胁主要来自病毒、木马、黑客攻击以及间谍软件攻击,国外的调查表明,当今全球杀毒软件对80%的病毒
无法起到识别作用,也就是说,杀毒软件之所以能杀毒,纯粹是根据病毒样本的代码特征来识别他是否
是病毒,就如警察要逮捕一个小偷,而这个小偷留着特殊的发型,于是警察就天天在街上盯着留着特殊
发型的人。 这样的杀毒最终效果可想而知了。 同样的道理,杀毒软件对于木马、间谍软件的防范也是基
于这种方式。防火墙是根据连接网络的数据包来进行监控的,也就是说,防火墙就相当于一个严格的门
卫,掌管系统的各扇门(端口),它负责对进出的人进行身份核实,每个人都需要得到最高长官的许可
才可以出入,而这个最高长官,就是你自己了。每当有不明的程序想要进入系统,或者连出网络,防火
墙都会在第一时间拦截,并检查身份,如果是经过你许可放行的(比如在应用规则设置中你允许了某一
个程序连接网络),则防火墙会放行该程序所发出的所有数据包,如果检测到这个程序并没有被许可放
行,则自动报警,并发出提示是否允许这个程序放行,这时候就需要你这个“最高统帅”做出判断了。
此外,对于黑客攻击,杀毒软件是没有任何办法的,因为黑客的操作不具有任何特征码,杀毒软件自然
无法识别,而防火墙则可以把你系统的每个端口都隐藏起来,让黑客找不到入口,自然也就保证了系统
的安全。目前全球范围内防火墙种类繁多,不过从个人经验来说,推荐天网防火墙和瑞星防火墙给大家
4:及时更新系统漏洞补丁,我想有经验的用户一定会打开WINDOWS系统自带的Windows Update菜单功能
对计算机安全进行在线更新操作系统,但是为了安全期间,我推荐瑞星杀毒软件自带的瑞星系统安全漏
洞扫描工具及时下载并打补丁程序,此工具是对WINDOWS操作系统漏洞和安全设置的扫描检查工具,提供
自动下载安装补丁的功能,并且自动修复操作系统存在的安全与漏洞,此工具深受众多人的青眯与信赖
5:不要轻易打开陌生的电子邮件附件,如果要打开的话,请以纯文本方式阅读信件,现在的邮件病毒
也是很猖狂,所以请大家也要格外的注意,更加不要随便回复陌生人的邮件。
当别人问起我的电脑已经被木马或者流氓软件牢牢控制了,我们拿什么去跟它们对抗呢,凭什么说
我们是最终的胜利者呢?我们不得不采取以下措施挽救我们的电脑。
反守为攻:诸杀计
从宏观角度来看,对于大多数用户机器中了病毒的现象来看,中的最多的病毒可以是流氓软件和间
谍软件了,那我们怎样做到关门打狗的秘诀呢?请看下面的步骤就明白了。
清除流氓软件的方法与工具:我推荐超级兔子魔法设置软件,这个软件中有一个自带的IE修复专家
,我们打开后根据该软件向导对流氓软件进行清除与处理,还有一款比较好的清除工具就是:黄山IE恢复
专家。 有些特殊的流氓软件需要我们在安全模式中再次对它清除。 如:7939病毒等等。
在任务管理器中结束一切可疑的进程,流氓软件它要生活下去的话,它肯定会混水摸鱼与操作系统
一些相关的文件纠缠在一起,甚至在%Windows%目录下生成bat批处理删除原文件,最终生成它相关的dll
或exe文件,尝试插入到进程中,导致用户上网或者机器不正常。
删除以下病毒自动添加的注册表信息,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown的键值下,删除病毒残留的注册表文件。
定期对自己的电脑进行彻底清查所有可疑病毒,前提条件是要对自己机器中的杀毒软件先升级。
总结
病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与
其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御,毕竟亡羊补牢
不是我们所希望发生的事情,“防患于未然”才是我们应该追求的。
发表评论