近日,金山毒霸云安全中心發現一些偽裝成播放器的病毒感染量猛增,日感染量即將突破10萬臺電腦,而這些電腦中毒的原因都是用戶主動下載。金山毒霸工程師建議網民在殺毒軟件在攔截危險下載時,應果斷中止下載。
金山安全專家李鐵軍指出,這些偽裝成播放器的病毒程序,實際上根本沒有播放器的功能。部分網民看片心切,會忽視安全軟件提示“這是一個危險下載”的警告,堅持打開這些程序,結果就會中毒。中毒電腦桌面會出現被篡改的IE圖標,雙擊會引導到一些網址導航站,電腦還會經常自動彈出一些視頻網站。
深入分析這些病毒,會發現病毒作者用很巧妙的方法來繞過安全軟件的主動防御。其結果就是:病毒運行時,若干種殺毒軟件的防御沒有任何報警提醒。李鐵軍指出,如果發現瀏覽器主頁被篡改,桌面增加了一些網站的圖標,而安全軟件也沒報警時,網民可以主動嘗試使用金山毒霸快速掃描。
圖:桌面出現異常圖標時,金山毒霸快速掃描可以發現系統異常
病毒突破殺毒軟件主動防御的事件頻繁發生,病毒作者用了很多巧妙的手法逃避攔截。這次發現的偽播放器病毒是利用IE瀏覽器的正常組件開機自動運行,因為正常有數字簽名的程序往往被殺毒軟件加入白名單。
加入白名單中的程序運行差不多是一路綠燈,一些殺毒軟件的主動防御沒有對程序的具體行為做進一步的監測,結果就會導致病毒木馬混水摸魚間接運行。有效防御的關鍵點是及時阻止危險程序的下載。
李鐵軍解釋說,“近期監測到病毒頻繁繞過主動防御,不能指望一種‘超前’的防御系統應對所有攻擊,殺毒軟件和病毒作者的對抗是長期的艱苦過程,殺毒行業不存在永動機。”
京公網安備 11010502049343號