專攻國內雲安全的木馬出現 主動防禦成最佳應對方式

當今，病毒和木馬對互聯網的威脅發生了很大的轉變，傳統的人工分析已經不足以支援龐大的病毒樣本數量。 在這種情況下，雲安全技術誕生了。 它將原來手工分析病毒的傳統流程，轉化為伺服器端自動處理的過程，這是安全界的一個巨大創新，也是木馬製作者們最頭疼的防護模式。 思科的總裁錢伯斯曾說過，雲計算將是安全的災難，這個說法在業內也引發了一場不小的轟動。 實際上，這確實也並非聳人聽聞，資料保護、終端防護、虛擬環境中的風險管理等資訊安全問題伴隨著雲計算的來臨將更加複雜和棘手，企業使用者的資訊安全將面臨更加嚴峻的挑戰。 近期，同樣使用雲計算技術的"雲安全"，也出了點狀況。 最近從微軟的惡意軟體保護中心公佈的報告得知：在中國出現一個通過視頻外掛程式方式傳播的Bohu木馬病毒，它不但可以繞過各種殺毒軟體的查殺。 甚至還能直接阻斷殺軟跟"雲"之間的溝通，阻止殺毒軟體的和伺服器的聯繫和升級。 根據該報告的解釋：Bohu病毒會將亂數據加到自身檔，從而變成檔案大小驚人的木馬。 以阻止基於雜湊散列的檢測。 為雲查殺引擎上傳分析可疑程式製造障礙。 通常雲安全殺毒軟體掃描檔後，將檔的雜湊散列發送到雲伺服器，以確定伺服器上是否有該檔的可用資訊。 當一個病毒的雜湊結果不斷變化時，伺服器將無法及時識別它。 此病毒大多被捆綁在一些播放機的安裝檔中，在流覽某些非主流視頻網站，如果使用者被某些視頻內容所誘惑，可能會點擊安裝這些特定的播放機。 其可能的出現形式如下：498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" src="HTTP:// images.51cto.com/files/uploadimg/20110126/1512200.jpg" width="362" height="256" />安裝播放機的同時， 這些惡意的安裝包會給系統安裝一個基於SPI的資料過濾服務，然後通過過濾特定資料包，阻隔殺毒軟體用戶端和雲端的通訊。 如果使用冰刃查看系統的SPI服務清單存在額外的netplayone.dll服務（不限於此名稱），則證明系統已經中毒。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" src="HTTP://images.51cto.com/files/uploadimg/20110126/1512201.jpg" width="599" height="98" /> Bohu目前主要的變種被AVG檢測為：Dropper.Generic2.BJOV和Dropper.Generic2.BJMC。 AVG能夠準確的識別捆綁病毒的安裝包：498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" src="HTTP:// images.51cto.com/files/uploadimg/20110126/1512202.jpg" width="557" height="188" /> 不過目前在Bohu病毒面前束手就擒的只有國內流行一些主流殺軟，短期內普通使用者只要配合使用專業的國外殺軟都能對付這個病毒。 但要想從根本上解決這類問題，還是需要使用AVG、卡巴斯基這種有主動防禦功能的專業殺毒軟體。 【責任編輯：佟媛微 TEL：（010）68476606】 原文：專攻國內雲安全的木馬出現 主動防禦成最佳應對方式 返回網路安全首頁