2018年度回顾:为什么采矿木马成为病毒木马黑产品的骨干?
腾讯平安详细清点了一年来各种顽固病毒木马入侵事宜,从盈利实现方式、传播渠道、匹敌工艺、典型案例等方面进行了全面分析Bootkit/Rootkit病毒家族的主要趋势和变化趋势,并为广大企业和个人用户提供适用建议,防止顽固病毒木马。我相信很多网民都有过这样的经历:电脑中毒后,浏览器主页莫名其妙地被篡改,各种推广链接会不时推出。使用杀毒软件不能切断根源。即使是格式化的重新安装系统,它也会卷土重来。它通常像狗皮膏药一样依赖于电脑,这使得招聘用户感到痛苦。
事实上,这种病毒是一个顽固的病毒家族。这种病毒木马接受刷流量、锁定主页、恶意推广、网络攻击、采矿等实现方式牟利,对用户的信息和财富安全构成严重威胁。在此支持下,腾讯平安详细清点了过去一年各种顽固病毒木马入侵事宜,从盈利实现模式、传播渠道、竞争技能、典型案例等方面进行了全面分析Bootkit/Rootkit 病毒家族的主要趋势和变化趋势,并为广大企业和个人用户提供适用建议,防止顽固病毒木马。
顽固病毒花式盈利 游戏外挂工具成为重灾区
作为20182000年最活跃的病毒木马和顽固的病毒木马具有启动早、隐蔽性高、吸烟频繁等显著特点,从而在互联网上猖獗。值得一提的是,病毒作者在入侵过程中发现了一系列盈利方式,一度给普通用户造成了重大经济损失。
数据显示,顽固病毒的主要实现利润包括锁定主页、刷流量、恶意推广等,前三名的比例是35%、30%、18%。随着挖掘黑产品的兴起,挖掘利润已经上升到10%,暗云新变种等Bootkit木马也转投挖矿获利。
(图:顽固病毒木马主要实现盈利方式)
事实上,这种病毒木马的传播渠道已经多样化。盗版作为病毒传播的主要载体Ghost系统通过广告竞价排名获得网络接见量以吸引用户下载安装内嵌病毒的软件,最终挟制主页等手段举行赢利;同时盗版激活工具、游戏外挂及种种下载器,针对特定目的人群发动定向攻击;另外第三方流氓软件也是顽固病毒的主要流传渠道,以看似“正常”的软件诱导用户下载,继而向用户电脑上安装病毒文件。
(图:带毒盗版Ghost系统广告竞价排名)
不仅是普通用户,顽固病毒还会通过弱密码爆破、缺陷行使等入侵手段攻击企业用户。近年来,随着木马和勒索病毒的兴起,为了提高查杀难度,获得更早的执行机会,勒索等病毒也将与顽固病毒捆绑传播。
木马家族那些顽固的病毒
在这方面,叙述提醒企业用户关闭不必要的文件共享和端口,定期非内陆备份主要文件和数据;接受高强度密码,无互联网需求的服务器/工作站内接收设置响应控制。
顽固病毒的三种技术匹敌手段:阻挡过滤、匹敌杀软、珍惜自己
《故事》指出,这类病毒作者不断完善阻挡过滤、匹敌杀软、自我珍惜等技术,实现匹敌杀软。首先,顽固病毒木马作者注册了许多回调hook系统相关函数,在适当的时间获得执行机会,在回调函数中完成相关的阻挡过滤效果,直接阻挡文件过滤、网络过滤等文件。
(图:独狼Rootkit过滤点)
其次,为了避免杀软查杀,病毒作者接受各种手段完成匹敌,包括病毒文件名随机化,防止杀毒软件过程启动,设备占坑,阻断网络,重定向,禁止写作BCD配置文件等升级工艺。此外,病毒作者还将接受自我珍惜的方式,通过阻止或隐藏自己的注册表来实现自我珍惜的目的。
网络攻击威胁不断加剧 手工创新守护用户网络安全
纵观整个20182000年,顽固病毒发动的网络攻击越来越频繁。从独狼一代到暗云变种再到插件鬼团伙,顽固病毒逐渐与广大用户的职业生涯密切相关,严重威胁用户网络的安全。
以外挂幽灵团伙为例,去年101月,腾讯平安威胁情报中心监控发现,插件幽灵团伙行使七兄弟辅助网络等游戏辅助网站传播双枪、紫狐等木马病毒。这些网站提供的许多游戏插件工具将私下携带多个木马病毒,并在安装过程中释放恶意程序,如锁定主页程序、快乐输入法和紫狐木马下载器,给用户造成不必要的经济损失和贫困。
从整个故事中可以看出,顽固病毒具有隐蔽性强、吸烟频繁、杀戮困难等特点,逐渐成为黑人分子的攻击方式之一。腾讯平安建议用户必须提高网络安全意识,保持腾讯计算机管家等安全软件的实时开放状态。如果用户被招募,并在使用杀毒软件的过程中被迫重启,导致杀毒过程终端无法完全清除病毒,可以使用腾讯计算机管家PE本急救箱进行查杀,可彻底查杀顽固病毒。
(图:腾讯电脑管家急救箱)
WinRAR传播高危漏洞Lime-RAT远程控制木马