【.com 综合消息】
1 需求分析
随着计算机及通信技术的飞速发展,网络在带给人们便利的同时,也给病毒、木马的泛滥提供了温床,给国家、政府、企业及个人都带来了不可估量的损失。其中,木马程序造成的危害更是非常巨大的,也是非常危险的恶意程序。它能使远程用户获得本地计算机的最高操作权限,使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。
据国家计算机网络应急技术处理协调中心抽样监测统计,2008年我国境内感染木马控制端的IP地址达到438,386个,感染木马被控制的IP地址达到565,605个,发送立即邮件106次、实施信息窃取操作373次。“木马与僵尸网络监测”已成为了被CNCERT列于“被篡改网站监测、恶意代码捕获”之首的核心监测项目。
木马的大肆传播泛滥已给国家造成了巨大损失,2009年5月,工业与信息化部下发了关于印发《木马和僵尸网络监测与处置机制》的通知。采取了迄今为止最广泛、最有力的机制措施。明确了相关主管机构与广大的互联网用户各自的责任和义务,规定了对木马和僵尸网络的“监测和通报”、“处置和反馈”两个主要流程及通报内容。
国家保密局更是把“对互联网的保密检查、对特种木马的检测”作为当前保密科技研究及保密检查工作中需要关注的重点方向之一。因此在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,防止木马窃取敏感信息,保护重要数据,已经成为当前信息网络安全监管或维护部门的重中之重。#p#
2解决方案
木马与合法程序的区别就在于木马行为的隐蔽性和目的的恶意性。从这两点区别入手,控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,就可以对木马的检测和防范起到较为理想的效果。鼎普科技积极跟踪市场需求、木马形势和国家相关政策,自主研发了鼎普木马监测与评估系统,指在对已知或未知木马进行监测与评估,综合分析木马行为特征,与此同时,对木马的最终目的——窃取关键信息进行分析判断有无感染木马或被窃取重要信息。通常电脑逐台查杀的检查方式对于个人应用来说,还是很方便的,但对信息安全监管部门来说,这样的方式却是非常费时费力的,鼎普科技根据这一需求,开发了网络木马监测与分析评估系统。该系统首先通过网络监测模块扫描并分析网络中的所有主机,并进行木马特征分析与重要信息匹配,准确判断并定位出网络中感染木马的主机,然后再用单机检测模块去做深入检查,从而可以大大的提高整个网络中木马检测与分析的效率。
根据不同的应用环境需求,鼎普科技提供了两种形式的解决方案:检查版木马检测方案与监测版木马检测方案,分别用于随机性检查或长期性监测、评估某个网络中是否存在木马病毒,其中检查版由单机检测模块和网络监测模块组成,而监测版则以专用网络监测硬件平台为载体,仅由网络监测模块组成。
2.1快速探测的网络木马监测模块
网络监测模块可以根据用户需要,通过对网络数据的实时采集,对IP源地址、目的地址进行分析从而有效的监测网络中存在的木马,并进而准确定位感染的主机,之后即可利用单机检测模块有针对性的对感染木马电脑进行细致的检测,以致清除。该模块既可以安装在笔记本上,也可以专用硬件平台为载体,安装在笔记本上并配以单机检测模块,提供灵活、便捷的木马检测技术手段,可以方便检查部门随时检查某个网络;以专业硬件平台为载体,则可以长期部署在网络上,实现对木马的连续、实时监测。图1表示了监测版木马检测系统的具体部署拓扑图。
图 1 典型安全检查综合部署图
由图1可以看出,该网络木马检测方案中,安装在一台专用设备上的网络木马监测模块部署在网络出口交换机镜像口或干路上,达到分析、判断并定位感染终端主机、重要信息还原的目的。具体实现的功能如下:
:在监测模块中添入已知高危木马的网络特征,可以及时准确的判别、阻断该木马的任何非法网络传输,实时报警;
高危IP、域名连接、端口的实时报警和统计 :紧密配合履行工信部印发的《木马和僵尸网络监测与处置机制》中的要求,可通过系统管理界面按需加入工业与信息化部通报的木马控制端IP地址、恶意域名、端口等信息,从而进行木马匹配分析,分析出网络中感染木马的终端主机,获得主机的IP和MAC地址,定位到终端;
敏感IP、域名连接的实时报警和统计 :固化了鼎普对A、B、C类公用地址研究分析的IP地址分类库;因此可以通过流经总出口的数据包实时分析内部某终端正在与美国、台湾、韩国、日本、欧洲等国家的某IP进行连接,且该库可以不断升级壮大,由此得出感染终端;
特种木马行为特征分析 :通过设置IP地址严控的方式确定疑似木马的连接行为;通过网络连接端口来判断连接是否由木马生成,并发现网络中的与控制相关的协议,并通过协议与端口的比对,发现伪装协议通过合法端口来工作,如80端口复用的防火墙穿越技术;
未知木马基于重要信息内容的准确判断
:对特征一无所知的未知木马,通过设置关键字的方式控制终端传输行为并报警。对重要信息、被木马恶意程序隐藏传输的电子邮件及附件、图片、文档等进行还原处理,可用于检查时确认泄漏内容的危害程度;如部署在网络干路上可进行实时阻断;
:自定义对重要信息进行筛选查阅。设置起始时间、结束时间、起始IP、结束IP、报文类型、应用协议、任务ID、文件类型等来筛选数据信息,方便查阅。可以在本地硬盘上保存当前选中的报文以便作更细致的分析。
:一是快速导航检测,用户登录系统管理界面后,只需点击一键,报表清晰的显示具体定位的感染终端;二是自定义检测,可按检查单位、部门、时间,准确定位报表。
在通过网络木马监测模块的准确定位后,即可使用单机木马检测模块针对感染木马的单机进行深度检测了。#p#
2.2深入分析的单机木马检测模块
木马隐蔽技术的发展使得木马在目标系统中越来越隐蔽,传统的基于静态特征的木马检测技术,面对已知木马的各种隐蔽和变化检测能力明显不足,对于未知的木马更是无能为力,具有根本性的缺陷。鼎普科技通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过监控注册表、文件和目录、端口进程关联和可疑调用行为、过滤分析网络通信等来检测木马。图2显示了单机木马检测模块的全部功能。
图2 鼎普木马监测与评估系统功能
单机木马检测模块以光盘或防病毒U盘为载体,重点实现功能如下:
1、静态检测:静态木马库的对比,对已知的高危木马进行匹配分析,检测当前高危木马;
2、动态检测:从木马所要运行活动的几个方面对未知木马变种进行动态特征的深入分析:
3、智能分析:对可疑进程进行智能分析,评估检测出的已知或未知木马在一定时间内的所有操作行为,如打开文件、写文件、打包文件等来确定这些可疑进程是否为木马。
4、报表审计:对终端一键检测、静态检测、动态监测及智能分析的结果生成统计审计报表信息。#p#
3 优势效果分析
在当前安全检查木马工作中,木马检查产品种类繁多,其多对常规木马种类进行检查,且检查方式多为木马库对比或少许特征分析,相比之下鼎普木马监测与评估系统开拓创新,创造出了独具特色的检查评估平台,优势重点体现在以下几个方面:针对性强,根据不同的行业特征,可进行关键字配置,针对窃取重要信息的高危木马和未知木马,实现准确的静态分析、敏锐的动态检测及智能跟踪分析;
建立完善的木马检测与评估体系,网络与单机共同进行深度检测评估,通过网络检测定位到终端,再对终端深度检测与综合分析评估,简洁高效;
独具特色的重要信息内容检查分析点,不论其为何种木马,其最终目的都是想窃取重要信息,因此鼎普科技开创了特色的从信息内容匹配、数据截获、数据报文还原的终极检测手段;
具有极强的扩展能力和自身提升能力,整个监测与评估系统构成了一个完整的闭环循环系统,先是网络上进行木马特征和信息内容分析,定位感染终端;再到终端上进行木马活动特性动态匹配智能分析,定位木马;最后由定位出的木马特征加入到网络监测模块中,便于以后的木马监测与评估,这就构成能够不断自我成长壮大,自我提升的木马监测与评估平台;自身防木马病毒能力强、适应多样的应用环境,并具有极高的兼容性和操作简单便捷性;通过光盘或防病毒U盘载体保障木马监测程序的安全性。#p#
4 结束语
鼎普科技凭借对计算机病毒多年来的研究分析,采用静态匹配与动态分析相结合、网络检测与单机检测相结合的独特检测方式,可以有效的批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。
木马进入新经济时代后,网络的提速让木马更加的泛滥,如何通过千变万化的木马形式分析出其编制的根本,并开发出有效的检测软件,这将是一项长期的任务。鼎普科技将不断研究新情况,解决新问题,密切关注防病毒领域的未来走向,为业界提供更安全更可靠更高效的解决思路。
手机会遭到木马的侵略吗?那么手机又能用什么软件来诊断有没有木马呢?
现在的手机病毒微乎其微,很少有什么威胁大的手机病毒,所以很无所谓,只要你不一直开着蓝牙,不乱安装软件就没有什么风险,别担心这个问题,不过360手机卫士很不错的,建议你安装一个
电脑中毒了,有什么彻底的方法没?
电脑中毒解决方案一. 检测病毒1.系统运行异常缓慢,经常自动弹出错窗口,浏览器自动跳转未知网页,CPU及PF使用率值常居高不下,其他异常情况,出现上述状况,很有可能中毒或流氓软件。 2.利用反病毒软件查杀,或在线查杀。 3.检查系统盘关键文件夹(如windows、system32、drivers等)有无未知文件、所有的启动项目(包括注册表、启动文件夹、服务等)有无未知项、浏览器加载项有无示知插件、正在运行的进程(包括进程模块信息)是否正常、文件关联是否正常等。 4.采用辅助软件,如注册表监视软件,网络嗅探器抓包分析,发现一些未知的病毒或木马软件。 这需要一些专业的知识了.二.清除病毒1.利用反病毒清除2.清除注册表中的一些注册信息。 3.对于不能删除的病毒木马文件,可以使用regsvr32 -u 命令(如regsvr32 -u ,即卸载)卸载,之后再删除。 4.在安全模式下删除.5.对于浏览器加载的一些插件可以IE->程序->管理加载项进行删除.6.对于以非即插即用设备驱动程序启动的病毒木马,清除方法:右击“我的电脑”→属性→硬件→设备管理器→查看→显示隐藏的设备,再点“非即插即用驱动程序”前面的“+”即可以查看到系统启动加载的非即插即用设备驱动程序。 这里给大家一个对照列表,如果列表中不存在的值得情疑一下了,最好搜索一下相关的信息,不确定的话就不要删,因为,设备驱动程序一旦删除的话就有 可能造成系统崩溃!
请问电脑中了木马病毒的现象有哪些?
木马运行的征兆如果电脑莫名其妙地死机或重启;如果硬盘在无操作的情况下频繁被访问;如果系统无端搜索软驱、光驱;如果系统速度异常缓慢,系统资源占用率过高……这些时候,你要小心了!你很可能已经和“木马”发生了“亲密接触”!到底这些“恐怖分子”是如何在我们电脑里“安家落户”的呢?木马的隐藏和启动木马进入服务端计算机以后,需要经过某种方式激活自身,运行并加载到系统自启动程序序列。 了解木马怎样激活自身,是找到并且清除木马的关键所在。 检查木马的方法扫描端口是检测木马的常用方法。 前面我们说过,在不打开任何网络软件的前提下,接入互联网的电脑打开的只有139端口。 因此,我们可以关闭所有网络软件,然后,用“代理猎手”这类的端口扫描软件对电脑端口进行扫描,如果发现有139端口之外的被打开,那么,你是中了木马无疑了。 要想找到木马的位置,可以运用检测内存的办法。 运行“c:\windows\”,这是Windows系统的“华生医生”,它可以对系统内存拍照,以取得相关的信息。 拍照之后,查看“高级视图”中“任务”标签下的“程序”项,其中列出的就是正在运行的程序。 对于可疑的程序,再查“路径”栏,可以找到这个程序,这样就知道它到底是不是木马了。 手工删除木马如果你认为找到木马后,删除不过是举手之劳,那你就大错特错了。 删除木马,有时候恰恰是最困难的工作,如果删除不彻底,木马很容易“死灰复燃”。 首先想到的方法应该是使用杀毒软件, 毕竟优秀的杀毒软件都是千锤百炼出来的“反恐”高手。 那么手工删除要注意什么呢?许多木马本身具有自动检测其自启动项目的功能,如果你在未删除木马的情况下先行删除了其启动项目,木马马上又能将这些启动信息重新写入相关的文件或注册表相关位置。 因此,最稳妥的方法是,在确定木马的位置以后,先重新启动计算机并进入DOS状态,在DOS下删掉木马程序后,再返回Windows,删除它的相关启动信息。 其次是木马文件名的麻烦——木马为了更好地隐藏自己和给你制造麻烦,生成的服务端文件名类似Windows的系统文件名。 比如木马SubSeven 1.7版本的服务器文件名是c:\windows\,而Windows有一个系统文件是c:\windows\。 又如,木马phAse 1.0版本,生成的木马是c:\windows\system\,和Windows的系统文件一模一样,只是图标不同,你能正确区分这些并且删除吗?另外,别忘了,文件名是可以改的。 你可能认为中了netbus木马就该有或者这样的文件出现,但是我把它改成你又能如何呢?所以,千万别一味依赖“常识”。 最后也是最困难的,就是木马的“多重攻击”带来的麻烦。 比如一种名叫“聪明基因”的国产“文件关联”型木马,只要服务端被运行,就会生成c:\windows\和以及c:\windows\system\三个文件,它们用的都是HTM文件图标,如果你的系统设置是不显示已知文件类型的扩展名,还真会以为它们是HTM文件呢!关联HLP文件,在启动时加载,关联TXT文件。 当你发现并删除了,以为大功告成的时候,只要打开HLP文件或文本文件,哪怕只是一次,和就被激活并再次生成。 类似手段甚至更厉害的木马还有很多。 要手工清除木马,非得有充分的电脑知识,丰富的经验,冷静的头脑,敏锐的洞察力以及高度的警惕性和超强的分析能力才行——你做得到吗?防患于未然木马如此凶残,你还有信心战胜它吗?别急,其实对付木马的最好方法,就是将它“拒之门外”。 在这个木马横行的年代,我们实在有必要加强安全防护意识。 防火墙、杀毒软件都要经常更新;要慎重选择下载软件的地方,尽量不要到一些来历不明的个人主页下载软件;对下载的软件,务必先用杀毒软件扫描后才可以进行安装,以防其中包藏祸害;另外就是不要打开来历不明邮件中的附件,不要执行别人发给你的所谓“有趣”的小程序……此外,一旦中了木马,首先要断开网络连接,因为这样就是神仙也操纵不了你了,然后你可以耐心地去清除它。 还有就是删除前做好备份,以防操作失误。
发表评论