首 页  |  微点新闻  |  业界动态  |  安全资讯  |  安全快报  |  产品信息  |  预升级专区
通行证  |  客服中心  |  微点社区  |  微点邮局  |  常见问题  |  在线订购  |  各地代理商
 

首页 > “黑屏”病毒专题 > 正文
微点主动防御软件为何能有效防范“黑屏”病毒
来源:东方微点      2008年10月23日

        随着10月21日0时,微点“黑屏行动”开始出击中国盗版市场。微软再次发布消息黑屏行动将先让5%的人“黑”,再引起恐慌,谁将成为5%,谁将幸免逃过。微软的5%过后,会不会来另一个5%或者更多,大量网友恐慌下四处投医,黑客看准形势,伺机作案。面对蜂拥而至的黑屏病毒,微点主动防御软件凭借着其巨大的优势,为用户计算机提供全面的安全保护。

        反病毒专家指出,现在出现的大量病毒相当多是为躲避杀毒软件查杀,对老病毒进行 “免杀”处理的变种病毒。此次出现的黑屏病毒,就是黑客利用用户惧怕微软在10月21日0时实施“黑屏行动”的心理,对灰鸽子病毒进行“免杀”处理,以压缩包或捆绑的形式,冒充破解补丁,诱导用户进行安装。而受到诱导下载病毒的用户将成为黑客的“肉鸡”,并被黑客控制。

        为何微点主动防御软件在此次病毒与反病毒之争中获取胜利,能够有效防范此类被黑客“免杀”处理的病毒?

        先看看现有杀毒软件反病毒技术的局限

        杀毒软件的核心是反病毒公司从病毒体中提取一串或多串代码作为识别病毒的特征码,杀毒软件将病毒码与计算机中文件进行比对,如果包含病毒特征码,就报毒。其特点:

        1)特征码依赖病毒:因为病毒特征码是从病毒体中提取的,因此,只有收集到的病毒,反病毒公司才能从中提取出特征码;

        2)病毒收集依赖用户:病毒不是反病毒公司编写的,虽然可以采用蜜罐等诱捕技术,能够自动收集到极少部分病毒。但是,绝大多数病毒是反病毒公司从用户提交的可疑程序中分析判断中获取的。杀毒厂家所宣称的病毒监测网,实质上就是由用户组成的,如果用户没有提交病毒样本,反病毒公司就很难收集到病毒。

        正是杀毒软件这种致命的技术缺陷导致病毒防范的脆弱性,主要体现在:

        1)不升级无法防范新编写的病毒;

        2)不升级无法防范经过“免杀”处理的老病毒;

        结论:能否防范病毒主要取决于杀毒软件公司能否收集到这个病毒。

        病毒轻松躲避杀毒软件查杀的最常用最有效手段

        针对杀毒软件这种严重的技术缺陷,病毒为了保护“胜利果实”,病毒制作者从技术的角度针对杀毒软件的弱点进行攻击,仅仅采用以下几种简单方法就可以轻松逃避杀毒软件的查杀:

        1) 加壳:加壳是病毒制造者最常用、最简单、最有效躲避杀毒软件查杀的技术。从技术原理上来说加壳是利用一种特殊的算法,对可执行文件进行压缩加密,借以改变其文件的特征。比如,某个病毒程序杀毒软件能够识别,但加壳后的病毒程序由于文件特征完全发生了变化,杀毒软件就无法识别了。举例来说,如果说病毒程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。更为严峻的是,现在互联网充斥自动加壳机,这种自动加壳机能够在1小时将一个病毒自动加壳变成几百甚至几千的新病毒。

        2) 加花:加花是病毒免杀常用的手段,加花的原理就是通过添加“花”指令(一些无用的垃圾指令),使得病毒的文件特征发生了改变,这样病毒程序的特征码跟原来就不一样了,对于杀毒软件来说就是一个新病毒,结果使得杀毒软件无法在识别其是病毒,还以为是正常的程序。

        3) 变种:变种是在原有病毒的基础对其功能进行修改或者增加,变种后的病毒和原来病毒有继承性,同时也改变了原病毒的文件特征,由于特征码已经改变,杀毒软件就无法识别这些变种的新病毒。

        4) 自动升级:在病毒产业中有句话,杀毒软件玩更新,病毒一样玩更新。什么意思呢,大家都知道,杀毒软件是通过升级病毒特征来达到查杀病毒的目的。病毒制造者也采用了同样的手段使病毒不断自动更新,达到躲避杀毒软件的查杀。简单来说,反病毒公司收集到了某个病毒样本,并提取了病毒的特征码,准备在下午15时向杀毒软件提供升级。但如果病毒在14时就对自己先升级更新,杀毒软件在15点更新后扫描还是不能发现这个病毒,因为病毒已经更新了。

        此次黑客的“黑屏”病毒所捆绑的“灰鸽子”,就是通过加区段、改变程序入口点和修改特征码等的“免杀”方式,成功躲过了杀毒软件的查杀,利用微软“黑屏”验证计划兴风作浪。当用户一旦安装这类“补丁程序”即刻成为黑客的“肉鸡”,黑客便可远程控制用户的计算机,盗取用户的网游、银行、股票交易帐号等信息,甚至还可打开用户计算机上的摄像头,拍下用户的私密生活。

        微点主动防御软件采用的是新一代的反病毒技术――主动防御技术,完全不同于采用病毒特征码来判断病毒的杀毒软件。主动防御技术是通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼出病毒识别规则知识库;模拟专家发现新病毒的机理,通过分布在用户计算机系统上的各种探针,动态监视程序运行的动作,并将程序的一系列通过逻辑关系分析组成有意义的行为,再结合应用病毒识别规则知识,实现对病毒的自动识别。

        虽然当前病毒通过加壳、加花、变种、自动升级等多种手段来改变自己的静态特征码,躲过杀毒软件的查杀,但微点主动防御软件是根据程序行为进行判断,无论病毒怎么“免杀”,其行为并没有变化,所以无法躲避微点主动防御软件的查杀。这就好比小偷通过改变自身外貌特征来躲避杀毒软件这个警察的追捕,然而改变了外貌特征的小偷始终无法掩盖偷盗的行为,一旦盗取必被捉。

        微点主动防御软件成功拦截“黑屏”病毒进一步表明,主动防御才是解决当前病毒最有效的技术手段。