认识网页木马，认识网页防护( 附 avast，红伞，AVG 测试报告 )

snic

一、前言

其实我自己最早以前是用Norton 2002，接着是Norton 2005，直到去年底才开始用NOD32 3.0，原因只是因为电脑想变快一点，虽然常听到亲朋好友有人中毒，但实际上因为自己的电脑使用习惯良好，从以前就根本没中过什么毒，会安装防毒软体也只是因为常抓一些压缩档深怕里面有毒可以先扫一扫，所以长久以来一直不重视防毒这一块，认为只要防毒软体病毒码有在给我常常更新就好，不过很不幸的从去年开始频繁中毒了，当时一直不懂为何自己会中毒，后来上网查资料才发现原来网页木马这么厉害，而且症状跟当初中毒前发现的一些异状很相似，我才知道原来是到处辜狗害的！这也是我为何这么重视网页防护的原因。


二、为什么要重视网页防护？

《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出，2008年的病毒数量继续暴增，比2007年增长12倍以上，其中“网页木马”所传播的木马、后门等病毒占据90%以上。木马病毒的编写、传播到出售，整个 网马产业链已经完全互联网化，这是导致病毒数量暴增和危害增大的根本原因，而“网页木马”成为目前最主要的互联网安全威胁。<---辜狗来的XD


三、网页木马的原理

网页木马之所以厉害是因为他不像ㄧ般病毒需要靠使用者主动去执行才会发作，他是一种通过攻击浏览器或浏览器外挂程序(通常是IE浏览器和ActiveX程序)的漏洞向目标用户机器植入木马、病毒、密码盗取等恶意程序<---这类说明随便搜寻都看的到，但你知道实际网页木马是怎么运作的吗？

如果你不小心去了挂马网站，你多半会发生下列情况：
1.突然浏览器窗口没有回应，有时甚至无法使用工作管理员强行关闭。
2.打开工作管理员查看，会发现IE的内存占用高达数百MB，CPU占用率很高(电脑会变慢)。
3.物理内存不够时系统自动扩大虚拟内存，导致系统频繁的对硬碟进行读写操作使电脑变慢。

这是因为网页木马利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码，效果就是让你的浏览器瘫痪，但这样做跟木马有什么关系？我相信很多人都看过病毒跟木马长什么样子，最常见的就是.exe的执行档，而平常你用IE等浏览器点网址下载档案的时候都会跳出视窗问你要直接执行还是另存新档对吧？这表示其实网页木马跟病毒一样，你可以选择不下载或不执行就不会发作，但往往因为网页木马所挟带的攻击代码让你的浏览器暂时瘫痪无法阻止下载，后果就是网页木马会被自动下载并安装到用户的电脑上。


四、一般的网页防护如何运作？

而一般防毒软体都宣称有网页防护功能，实际上他们的网页防护原理是在系统里设置一个代理服务器，让所有发送给浏览器的信息会先经过代理服务器进行病毒扫瞄，如果把一般防毒软体的即时防护与他们的网页防护的具体信息流程作个比较：
即时防护：系统内核调用硬碟数据 -> 即时防护 -> 系统
网页防护：来自网络的数据 -> 网页防护代理服务器 -> 浏览器 -> 系统

说穿了他们的网页防护就是早一步先在内存里扫毒扫完才允许存取到硬碟上，但事实上浏览时的temp(浏览器 -> 系统)一样会经过即时防护扫瞄后才可以存取，既然都是用病毒库扫瞄已知的病毒，那为什么要扫两次？所以才有网页防护会降低网速的说法，因为是多扫瞄ㄧ次后才能浏览网页，也有人说小红伞免费版没有网页防护也没差因为根本效果一样。


五、为什么有网页防护还是会中木马？

防毒软体的原理就是靠特征码的比对来抓病毒，要是碰到还未入防毒软体的资料库的新病毒怎么办？而且网页木马通常都是有时效性的，当你碰上时几乎都是最新的未入库的病毒！因为企业学校公家机关若发现网站被骇客恶意植入木马后会立即在短时间内处理掉。

所以与其打开后门让小偷有机会溜进来，何不干脆直接把后门关起来？防网页木马也是同样道理，只要防堵了漏洞，管你是什么未知病毒木马你都进不来，所以真正的网页防护其实就类似HIPS软体的原理，不需要庞大的病毒库，只需要恶意网站黑名单 + exploits(漏洞利用)特征库，所以数据量不大，毕竟木马的种类有成千上万种怎么扫都扫不完，但是系统的漏洞却蛮容易数完的。


＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊


为了说明上面的状况我做了一个实验(因私人原因该测试日期离本篇完成有段时间)，测试网页样本源自卡饭论坛 >> 病毒样本区 >> 网络安全（毒网分析）>> [恶意网址] 超强挂马，这是2009/09/28由卡友提供的当时一个新的挂马网页，据他说法当初金山网盾对付这网马差点当机，因为第二页有人查出该网页有上千个木马，测试环境为WinXP SP3+IE6，测试防护软体为
avast! Home Edition 4.8.1335(病毒库日期2009/07/07)
AVG Free Anti-Virus 8.5.392(病毒库日期2009/07/09)
Avira AntiVir Personal-Free Antivirus 9.0.0.407(病毒库日期2009/09/29)
软体设定皆采预设设定，并且皆采单奔方式测试，所以不会因其他防护软体影响测试结果

这里AVG跟avast!我会用近三个月前的病毒库去对付9月底的网页木马，原因是AVG Free跟avast! Home Edition他们都有网页防护的功能，但AVG是靠exploits漏洞特征库，加上自身即时防护(也就是病毒库)的双重防护，avast只是靠网页经过代理服务器扫瞄病毒(单靠病毒库)，我就是要测试补漏洞是否可以加强防止未知病毒和木马的入侵，所以采用旧的病毒库。至于为什么没有网页防护的小红伞反而是用最新的病毒库，主要是测试小红伞没有网页防护光靠病毒库的即时防护上挂马网站是否安全。

测试1结果：

首先是avast! Home Edition 4.8.1335(病毒库日期2009/07/07)
测试全程影片下载(每个分割档都要抓才可以解压)



从影片中你会发现当进入挂马网页后，avast的网页防护侦测到威胁并要求中断连线，大约按数次中断以后才停止警示讯息，但威胁并没因此结束，此时从工作管理员内你会看到IE的CPU占用率开始占90%以上，内存占用也持续飙高(已开始破百)，往下看IE的讯息条发现一直持续开启不知名网页，到了影片最后内存占用已飙破200MB，如果影片持续下去还会更高，而一般网马不会拖那么久，通常10秒内就可破300MB，而且最后你还是无法正常浏览该网页！

接下来是AVG Free Anti-Virus 8.5.392(病毒库日期2009/07/09)
测试全程影片下载(每个分割档都要抓才可以解压)


从影片中你会发现当进入挂马网页后，AVG的网页防护侦测到威胁并跳出警示视窗，但跟avast不一样的是警示视窗只跳出一次，IE的CPU占用率跟内存占用也保持正常，最重要的是不需狂按警示视窗且马上可以正常浏览该网页。

最后是Avira AntiVir Personal-Free Antivirus 9.0.0.407(病毒库日期2009/09/29)
测试全程影片下载(每个分割档都要抓才可以解压)


不过用过的都知道小红伞杀毒很敏感很强，但免费版没有自动处理的功能，只要进挂马网页小红伞跳视窗就会超频繁，光是点警示视窗就会按到手软，我自己测过用自动点击程式帮我连点，基本上点个30分钟都还点不完XD，所以该测试影片的小红伞我有使用监控自动处理补丁，至于影片部分你会发现小红伞基本上跟avast状况相同(当然打了补丁就不跳视窗了)，到后面一样内存占用也持续飙高，最后飙破200MB！而且跟avast一样无法正常浏览该网页！


我想看到这里一定有人认为这可能是个案，所以我再做个较大规模的实验(同样环境)，测试网页样本源自卡饭论坛 >> 病毒样本区 >> 网络安全（毒网分析）>> [恶意网址] 挂马(出自剑盟），这是2009/10/06由卡友提供了当时一堆新的挂马网页，里面有34个挂马网页，这里测试不局限是否对该网页有警示而已，主要是该网页是否能成功对系统造成伤害，包含CPU占用率跟内存占用是否飙高，是否自动执行有害程式，甚至解除防毒软体防护！

测试2(病毒库日期皆为2009/07)结果：

avast(病毒库日期2009/07/07)有11个(防御率67%)挂马网页成功对系统造成伤害
AVG(病毒库日期2009/07/09)有5个(防御率85%)挂马网页成功对系统造成伤害
小红伞(病毒库日期2009/07/23)有5个(防御率85%)挂马网页成功对系统造成伤害

其中有个网马甚至能将avast整个杀掉！
测试全程影片下载(每个分割档都要抓才可以解压)




而同一个网马AVG警示视窗只跳出一次就可顺利阻止入侵！
测试全程影片下载


那你可能会问如果病毒库都更新到最新那测试结果会有什么变化？所以我再做一次测试

测试3(病毒库日期2009/10/09)结果：

avast有1个(防御率97%)挂马网页成功对系统造成伤害
AVG有1个(防御率97%)挂马网页成功对系统造成伤害
小红伞有3个(防御率91%)挂马网页成功对系统造成伤害

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

结论：

avast的网页防护因为完全是靠病毒库来侦测，所以对于未知网马的防护能力不足，但只要天天保持病毒库的正常更新，avast对已知网马的防护效果还是不错的。

未更新前小红伞可防御大部分未知网马，但更新后对防护能力提升却相当有限(甚至输avast跟AVG)，可见小红伞主要是靠强大的启发式充当网页防护，所以病毒库内网马特征码数量可能少于avast跟AVG，而且因为免费版本缺乏自动处理的功能，当遇到挂马网页时那超频繁的警示视窗反而对使用者造成莫大的困扰。

AVG的网页防护是靠exploits漏洞特征库+自身即时防护(也就是病毒库)的双重防护，所以只要天天保持病毒库的正常更新，不管是对未知网马还是已知网马的防护能力都不错。

[ 本帖最后由 snic 于 2009-10-10 15:49 编辑 ]

tokyo106

感謝分享心得
來參考看看~

w309206850

沙发!    来看看!

killua125

如果用有网页监控的P版会是什么结果？

time123

不错 支持下

渡边

扫盲帖

Soma Cruz

很值得参考

Dirk

想知道加WG的AVIRA

何常在

楼主有心人，事实胜于雄辩。

love668668

用有网页监控的P版作測試才准吧