绑架型木马查杀之困

　　随着杀毒软件对系统监控点的防御增加,木马运行起来后,在一些系统关键位置可能就会被杀毒软件发现并查杀,系统常用来启动加载程序的敏感位置也被安全软件监视,传统木马很难突破这些监控。

　　为了能让木马运行起来,木马必须先替换掉正常的系统文件或第三方常用软件,借操作系统文件和应用软件的组件来存活。当运行某些系统功能或需要运行某点特定的应用时,木马也就随之被运行起来。

　　期间,绑架型木马可以通过“绑架”正常的系统文件或某个正常的应用软件的自启动,在这个过程中,可以被绑架型木马利用的正常的系统文件或软件不计其数,防不胜防。同时,在破坏系统组件,简单删除木马程序之后,系统则会出现各种各样的系统异常,与之相关的应用程序无法正常运行,甚至出现系统崩溃。比如游戏不能运行,提示缺少某个DLL文件,系统莫名的出错很慢。

　　来自金山安全中心的统计数据显示,2010年之前,绑架型木马已经出现,但并没有大规模爆发。进入2010年,绑架型木马增长迅猛,仅2010年前9个月即新增绑架型木马943862个,占据新增木马的84.2%。

　　不仅如此,由于绑架型木马的强大破坏性,一旦用户感染了此类木马,传统的杀毒软件很难彻底清除,即使删除了木马文件,用户的系统也会出现很多“后遗症”。金山安全中心最新统计数据显示,感染了绑架型木马之后,用户电脑集中表现为五大特征:浏览器首页被篡改、桌面恶意图标无法删除、桌面快捷方式被篡改、浏览器收藏夹异常以及部分网页打不开等。

　　此时,基于绑架型木马防不胜防、破坏性强、难以彻底删除等特点,传统的杀毒技术在对绑架型木马文件进行查杀后,经常会出现各种各样的系统异常,而与之相关的应用程序也无法正常运行,甚至出现系统崩溃。