▲
核心提示
自1986年世界上出现第一个计算机木马至今,20多年间,木马已经成为了用户电脑安全的主要威胁,互联网每天新增的木马数量已经近万个。伴随着反木马技术的不断发展,木马制作者为了逃避杀毒软件的追杀,在传播方式、破坏方式等方面也随之不断创新。
从不具备感染性和主动传播性的传统木马,到隐蔽性、危害性更强的感染型木马,尽管传统的木马查杀技术已经可以帮助用户有效地拦截这些木马的入侵,但近年来最新出现的“绑架型木马”,尤其是2010年以来,绑架型木马增长迅猛,几乎占据了互联网新增木马的主流。
来自《金山安全2010木马发展趋势报告》则指出,无论是木马启动方式,还是对用户电脑系统的破坏性,绑架型木马均超出了传统木马以及感染型木马,而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。
绑架型木马的“画皮”
伴随着互联网的普及,网络安全问题也成为了广大网民关注的焦点。早在2008年,黑客发现利用系统漏洞以及应用程序的漏洞在用户不知情的状态下,下载木马运行,从而通过游戏盗号、劫持主页、刷流量等非法手段,从中获得暴利。期间,从2008年开始到2010年,由于各大安全厂商纷纷推出防挂马技术,木马很难轻易进入用户电脑,因此,网页挂马等传播木马的方式逐步减少。
然而,黑客为了继续牟取经济利益,进而转向通过软件捆绑等比较隐蔽的方式运行,同时木马作者非常了解操作系统和应用软件运行时程序之间的相互依存关系,木马开始越来越多破坏系统文件、应用程序组件或系统配置,绑架型木马也随之出现了。
那么,什么是绑架型木马?金山安全专家指出,绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同,绑架型木马通过“绑架”正常的系统文件或某个正常的应用软件实现自启动。运行后,该类木马会通过“绑架”用户的方式,强行修改用户浏览器主页、强迫用户浏览恶意网站等。
绑架型木马最显著的特点就是木马启动运行的方式发生变革,从原来的几个、几十个系统加载点,转变为成千上万种。同时,绑架型木马还可以破坏系统组件,杀毒软件在简单删除木马程序之后,会出现各种各样的系统异常,而与之相关的应用程序也无法正常运行,甚至出现系统崩溃。
可以说,绑架型木马的出现是木马制作者寻求新的盈利模式、逃避杀毒软件追杀的必然产物。而如今,绑架型木马已经成为了木马制作者牟取经济利益的主要手段。据保守估计,绑架型木马产生的经济利益已经超过了10亿。
目前,绑架型木马的盈利模式主要包含以下几种:与钓鱼网站勾结,即先通过木马“绑架”用户,强迫用户访问骗子指定的钓鱼网站;锁定浏览器主页,通过对浏览器主页的锁定,换取网络流量,并通过出售网络流量的方式进行牟利;帮助某些购物网站进行推广,通过篡改桌面图标、修改快捷方式、篡改用户浏览器收藏夹等办法“绑架”用户强行访问某些购物类网站。