查看: 4646|回复: 32
收起左侧

[金山] 你死我活的对抗:杀毒软件与AV终结者 by铁军

  [复制链接]
知微
发表于 2011-6-18 17:46:36 | 显示全部楼层 |阅读模式
http://hi.baidu.com/litiejun/blo ... 7c300b73f05dd3.html
做杀毒软件近10年来,有一个病毒给我留下的印象最为深刻,这是一类从2007年泛滥至今的恶性病毒。这类病毒从它诞生之日起,就没有停止过和杀毒软件的对抗。它不象别的病毒,在和杀毒软件的对抗中采取守势或灵巧的绕过,而是坚持不断的改进,在入侵系统的同时,就试图将杀毒软件一举消灭,它就是AV终结者病毒。



AV终结者的出现

2007年5月,还是盗号木马泛滥的时代。在一段时间以内,市面主要流行的安全软件全部遭遇病毒集团的反击。如果不是比较关注安全,绝大部分用户根本没意识到电脑被攻击。中毒用户发现时,往往是在线游戏装备被盗。而2007年,还是网页挂马严重泛滥的一年。

回头分析一下当年网民所面临的风险:

1.在线游戏方兴未艾。

网购用户远比现在少,在线视频也受带宽的限制,只能看非一般清晰度的视频。大部分网民当时的下载速度在100KB/s左右,一部电影要下几个小时,一部电视剧要下几天,提供可以看得上眼的在线视频网站非常少,电脑城里卖盘的很火爆。

网络条件限制了网络应用,网游吸引的用户群占据主流,网民在游戏中消耗的时间令其它互联网企业嫉妒不已。

2.游戏的兴盛,使游戏周边产业火爆

游戏代练工作室培养了大量金币农夫,线上线下的装备交易非常活跃,很多人在网吧玩儿网游,热门网游里有大量职业玩家,游戏一开始,就在其中经营各种虚拟道具,好的游戏装备根本不愁卖。

3.盗号产业异常活跃

活跃的道具交易市场,大量廉价的金币农夫,许多类似于史玉柱的老板们带一个帮会,在游戏中一掷万金。盗号产业的从业者既不想当金币农夫,又想痛痛快快捞钱,他们的头脑中就一个字“偷”。

4.其他外部环境:

浏览器相关组件的漏洞多得补不过来,出个漏洞,制个挂马网页,再入侵一批网站把挂马代码一挂。或者,买断一些大流量的娱乐网站,把木马挂上边,就等着鱼儿上钩。

一个经典的0DAY一出,几小时内挂马网页就会出笼,中马率高达50%,杀毒软件是盗号产业链唯一需要抗衡的对手。或许是某个作者烦透了做免杀,突发奇想:直接灭掉杀毒软件好了。就这样,AV终结者出现了。



AV终结者的手段

最常用的招数,遍历进程中,发现有杀毒软件相关进程名,立刻尝试结束进程、删除文件。杀掉进程还不过瘾,再把注册表中杀毒软件的启动项删除,服务删除,用映像劫持将数十种杀毒软件对应的文件名添加到禁止运行的列表。

想到Windows安全模式修复更是没门,一到安全模式就蓝屏。可能有用户会感觉到中毒,决定去搜索一些答案,看看有没有别的方案解决。结果只要页面有杀毒字样,浏览器就自动关闭。想用任务管理器和注册表编辑器手动操作,同样不行,管理工具一打开就会被立刻关闭。

高手会想到用冰刃,也没用,冰刃也和杀毒软件一样,被加入打击清单,一运行就关闭再删除文件,好象用户只剩下重装这一条路。



AV终结者成为最重要的病毒分发渠道

在病毒和杀毒软件的对抗中,杀毒软件更被动,理由:

1.杀毒软件相对于病毒来讲,种类太少,就那几个流行品牌。要按特征码辨认杀毒软件,才不过几十个,上百个而已,而病毒却有几十万个。

2.病毒从来不在乎程序BUG,系统蓝了就蓝了。而杀毒软件要面向数百万用户,任何一个大的改动,势必小心谨慎。

很快,AV终结者成功在很短的时间内成为病毒中的王者。只要用户不幸浏览挂马网页,一个免杀的AV终结者病毒进入系统,杀毒软件立刻被结束进程,重启后,连加载项都被禁止,中毒电脑成为完全不设防的系统。

于是,很快AV终结者发现,灭掉了杀毒软件,自己就是系统的王者,想推什么病毒就推什么病毒。小病毒团体必须向AV终结者传播者交纳保护费,通过AV终结者的传播渠道分发,AV终结者成为病毒分发渠道王者。



杀毒软件和AV终结者的游斗

看起来,不想让用户重装的话,只有专杀工具这唯一的路。在AV终结者专杀发布之后,很快发现,AV终结者病毒又升级了,专杀同样被病毒杀掉。而且发现,病毒是对杀毒软件的数字签名来匹配特征的,只要用杀毒厂商的签名,这个程序就会被杀掉。

专杀工具只好去掉数字签名,并且,被迫修改程序标题栏为随机字串,避免被病毒匹配到被结束进程。就这样,双方你来我往斗了4年。



AV终结者的退却是网络环境综合作用的结果

我不认为AV终结者的减少是杀毒软件一家之功,这其中警方的力量不可低估。警方破获了多起特大盗号木马集团案,比如大小姐木马案、伯乐马集团案等等,案值均在数千万元之巨。据犯罪集团自己交待,生意最火爆时,一个月就有1000万的收入。

这一类病毒的消退,微软同样很给力,IE越来越安全,挂马也变得越来越困难。并且,网民数量增长迅猛,在线视频和网购都吸引了大量人气。既然赚钱的机会如此之多,干嘛非得跟杀毒厂商较劲玩对杀,直接做网购木马和钓鱼网站多简单,来钱也很猛。

另一个重要原因是金山网盾类的防挂马工具日见成熟,使得挂马网页的中马率直线下降。中马率的降低自然令病毒集团购买流量 的投入打了水飘。

有一组数据可以让你改变对钓鱼网站的看法:

我们统计过大约一周有800万台次左右的PC曾经拦截或发现过病毒,而一周内曾经访问钓鱼网站的次数则有1.7亿次。访问钓鱼网站的次数大约是中毒次数的20倍。

写一个病毒也许需要好几天,而做一个钓鱼网站只需要1分钟。

于是,我们都看到了,AV终结者变少。尽管后来,又出了比AV终结者更猛的磁碟机病毒。AV终结者至今仍然试图攻击杀毒软件,当然,这个过程变得越来越难了,云杀毒软件的兴起,给病毒传播的时间越来越短,双方对抗的成本都在增高。

在病毒越来越趋利的今天,与杀毒软件对抗的时间,上千个钓鱼网站都做出来了。

因此,我们看到的现状就是,钓鱼网站如雨后春笋,越来越常见。
悟心之道
发表于 2011-6-18 17:57:12 | 显示全部楼层
学习了下
coralsea
发表于 2011-6-18 18:01:59 | 显示全部楼层
這就是自保的重要性  沒有自保談什麼防護
yyyyhh123
发表于 2011-6-18 18:04:29 | 显示全部楼层
如果自保够强大  怎么终结 啊
Mr.舞步
发表于 2011-6-18 18:06:01 | 显示全部楼层
金山还是不错 的    当年小学时候电脑安的就是金山     那时候号称啥 闪电杀毒…………
K_Ghost!
发表于 2011-6-18 18:18:06 | 显示全部楼层
本帖最后由 K_Ghost! 于 2011-6-18 18:18 编辑
yyyyhh123 发表于 2011-6-18 18:04
如果自保够强大  怎么终结 啊


有谁的自保是病毒作者们无法干翻的?...
大金鱼先生
发表于 2011-6-18 18:32:42 | 显示全部楼层
K_Ghost! 发表于 2011-6-18 18:18
有谁的自保是病毒作者们无法干翻的?...

自保就一定是防止自己被结束?主防禁止病毒的动作算不算保护自己?引擎消灭病毒算不算保护自己?难道自保护就是那么狭隘的概念吗?任何一款杀软都是走体系化防御,任何一个单项防御再强都是没用的
897414566
发表于 2011-6-18 19:13:49 | 显示全部楼层
说得好啊!
3256459
发表于 2011-6-18 21:36:20 | 显示全部楼层
长知识咯
jefffire
头像被屏蔽
发表于 2011-6-18 21:37:48 | 显示全部楼层
jyc19970330 发表于 2011-6-18 18:32
自保就一定是防止自己被结束?主防禁止病毒的动作算不算保护自己?引擎消灭病毒算不算保护自己?难道自保 ...

非常正确。任何强悍有力的自保一定是基于强悍的主防之上的,换句话说自保只不过是主防的一个附带结果而已。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:50 , Processed in 0.145116 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表