您的位置: 网界网 > 周报全文 > 正文

[周报全文]识破恶意代码的“伪装”

2007年11月28日 14:38:23 | 作者:网界网 张琳 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:安全威胁的日益复杂化,使得病毒等恶意代码的伪装和隐藏手段也越来越多,这使得很多仅仅依靠传统反病毒软件来维持系统安全的用户面临更大的挑战。

标签
病毒
伪装
恶意代码
 

【CNW.com.cn 专稿】安全威胁的日益复杂化,使得病毒恶意代码伪装和隐藏手段也越来越多,这使得很多仅仅依靠传统反病毒软件来维持系统安全的用户面临更大的挑战。因为新的病毒和恶意代码一反过去兴风作浪、声势惊人的作风,转而变得十分“低调”,刻意隐藏自己的行踪,在用户毫无知觉的情况下完成破坏过程,从而使这种“伪装”带来了更大的杀机。

从目前收集的样本结果来看,恶意代码作者采用最多的是RootKit加壳技术,这已成为近年来流行病毒普遍采用的技术,如“灰鸽子”后门病毒、“友好客户”(PcClient)后门病毒,以及部分版本的网游大盗木马等,都采用该技术进行编写,以达到隐藏自身,躲避检测查杀的目的。

另一种新出现的恶意代码伪装手段就是IEFO重定向劫持技术,也是今年病毒普遍采用的一个隐身功能,病毒通过修改注册表,配合重定向劫持技术,使得常见的杀毒软件、防火墙软件和安全工具无法运行。与此同时,病毒还会破坏安全模式(+本站微信networkworldweixin),使中毒用户无法在安全模式下查杀病毒,从而达到躲避查杀的目的。这类病毒除了通过网络,还可通过移动存储介质进行传播。其代表包括“AV终结者”等病毒。

 此外,还有些恶意代码利用修改注册表相关键值的办法来屏蔽显示隐藏文件功能。这样,无论用户在系统设置中如何设置文件显示模式,都无法看见病毒文件,这就给用户的样本提取和上报带来了难度。

面对恶意代码的这些“新伪装”,企业用户在装备传统的网络反病毒软件之后,还需要增加纵深防御的安全措施,尤其是一些具备主动防御和行为识别的安全设备,这样才能对隐藏的恶意代码进行更好的防护。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]