“綁架型”木馬爆發(fā) 金山毒霸首推“修復(fù)引擎”完美解

伴隨著殺毒技術(shù)的不斷發(fā)展，傳統(tǒng)木馬的生存空間越來(lái)越小。2010年以來(lái)，一種新型的木馬病毒——“綁架型”木馬迅速爆發(fā)，并逐步成為主流。該類(lèi)型木馬極具破壞性，開(kāi)始破壞系統(tǒng)文件、修改系統(tǒng)配置、鎖定瀏覽器首頁(yè)，木馬的啟動(dòng)方式也由原來(lái)的幾十個(gè)，上百個(gè)，接近于無(wú)窮多個(gè)，防不勝防。

面對(duì)如此嚴(yán)峻的木馬威脅，傳統(tǒng)的僅針對(duì)木馬文件的殺毒軟件難免力不從心。而近日，由金山安全最新發(fā)布的金山毒霸2011 SP3版本率先推出了“系統(tǒng)修復(fù)”引擎。該引擎不但能夠全面解決“綁架型”木馬給用戶(hù)帶來(lái)的電腦異常，而且，與藍(lán)芯II引擎、云查殺引擎一同組成了殺毒引擎的“三駕馬車(chē)”，輕松幫助用戶(hù)解決各種安全困擾。由此，金山毒霸2011 SP3版也成為了全球首款擁有“三引擎”的殺毒軟件。

金山毒霸 2011 SP3免費(fèi)下載地址：http://www.duba.net/kav/

“綁架型”木馬爆發(fā) 殺毒技術(shù)面臨革新

一般認(rèn)為，木馬就是悄無(wú)聲息隱藏在系統(tǒng)中的惡意程序，通常并不具備主動(dòng)傳播性和破壞性。找到木馬程序所在，刪除后，系統(tǒng)就會(huì)恢復(fù)正常。隨著技術(shù)進(jìn)步，傳統(tǒng)木馬實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)的“招數(shù)”被殺毒軟件一一識(shí)破。這種情況下，傳統(tǒng)木馬必須變革才能繼續(xù)生存。病毒木馬產(chǎn)業(yè)鏈的從業(yè)者，絕不會(huì)放棄繼續(xù)入侵系統(tǒng)的努力。金山安全中心監(jiān)測(cè)到綁架型木馬已經(jīng)出現(xiàn)并正在迅速成為木馬主流。

綁架型木馬具備傳統(tǒng)木馬的多數(shù)優(yōu)點(diǎn)，比如隱蔽性好，不易被發(fā)現(xiàn)。最大的區(qū)別在于，綁架型木馬會(huì)改寫(xiě)操作系統(tǒng)核心組件、偽裝成常用應(yīng)用程序的一部分。有相當(dāng)多的木馬不會(huì)在一開(kāi)機(jī)時(shí)就自動(dòng)運(yùn)行，而是在用戶(hù)運(yùn)行某些特定的程序時(shí)，才悄悄運(yùn)行。木馬的這種技術(shù)革新，大大提高了生存能力，病毒木馬產(chǎn)業(yè)鏈的從業(yè)者才有可能繼續(xù)獲得非法收益。

據(jù)金山安全中心監(jiān)測(cè)，2010年以來(lái)，綁架型木馬越來(lái)越成為病毒木馬程序的主流。只針對(duì)木馬程序文件進(jìn)行處理的殺毒軟件顯然力不從心，經(jīng)常有網(wǎng)民反應(yīng)查殺某些病毒之后，在線(xiàn)游戲無(wú)法運(yùn)行，系統(tǒng)經(jīng)常報(bào)錯(cuò)，找不到輸入法，瀏覽器不能上網(wǎng)等等異常。這些就是簡(jiǎn)單刪除綁架型木馬文件造成的后遺癥。

殺毒軟件必須適應(yīng)這種技術(shù)變革，網(wǎng)民需要的是既可以完成木馬清除，并同時(shí)將系統(tǒng)修復(fù)完善的安全軟件。金山毒霸2011 SP3的系統(tǒng)修復(fù)引擎就是在這種背景下逐步成熟。

全球首個(gè)“系統(tǒng)修復(fù)引擎” 以不變應(yīng)萬(wàn)變

以前也有一些專(zhuān)門(mén)針對(duì)木馬破壞設(shè)計(jì)的修復(fù)工具，比如金山清理專(zhuān)家和360安全衛(wèi)士等產(chǎn)品。這些工具是將木馬的破壞行為記錄入庫(kù)，檢測(cè)到該木馬入侵的特征之后，再將木馬改寫(xiě)的系統(tǒng)配置還原到正常狀態(tài)。當(dāng)木馬的數(shù)量越來(lái)越多時(shí)，就會(huì)發(fā)現(xiàn)這個(gè)特征庫(kù)變得很龐大，處理效率會(huì)下滑，而且誤報(bào)木馬特征的情況也時(shí)有發(fā)生。

金山毒霸2011 SP3的系統(tǒng)修復(fù)引擎是以“可信云安全”為核心的白名單殺毒技術(shù)，簡(jiǎn)單說(shuō)，就是無(wú)論綁架型木馬把系統(tǒng)修改成什么樣子，任何未被云引擎判斷為安全的項(xiàng)目出現(xiàn)在敏感位置均視為可疑，這時(shí)金山毒霸均會(huì)無(wú)條件將系統(tǒng)修復(fù)到默認(rèn)值。這樣以不變應(yīng)萬(wàn)變，避免修復(fù)引擎陷入無(wú)休止的特征庫(kù)升級(jí)陷阱。

以2010年1月爆發(fā)的“潛行者”木馬為例，這是一個(gè)典型的綁架型木馬。在過(guò)去，木馬為了侵入網(wǎng)游，必須在啟動(dòng)項(xiàng)中進(jìn)行加載，所以安全軟件可以通過(guò)啟動(dòng)項(xiàng)檢查發(fā)現(xiàn)是否有木馬進(jìn)入系統(tǒng)。而像“潛行者”以感染W(wǎng)indows系統(tǒng)文件Dsound.dll、Ddraw.dll作為跳板，把木馬加載進(jìn)網(wǎng)游，可以繞過(guò)大多數(shù)安全軟件的檢測(cè)。

對(duì)于潛行者病毒，多數(shù)殺毒軟件在查殺后造成系統(tǒng)找不到Dsound.dll、Ddraw.dll文件，導(dǎo)致運(yùn)行網(wǎng)游時(shí)彈出系統(tǒng)文件丟失提示。從百度、谷歌等搜索引擎搜索量情況來(lái)看，網(wǎng)友對(duì)Dsound.dll、Ddraw.dll文件的搜索量暴增，也可以確定網(wǎng)友對(duì)殺毒軟件只管查殺，不管修復(fù)是如此無(wú)奈。

與傳統(tǒng)殺毒軟件只對(duì)木馬文件進(jìn)行查殺的處理辦法不同，金山毒霸2011SP3啟用了全新的系統(tǒng)修復(fù)引擎，在查殺掉木馬文件之后，逐一檢查用戶(hù)系統(tǒng)關(guān)鍵位置，修復(fù)病毒存活時(shí)對(duì)關(guān)鍵位置進(jìn)行的非法篡改。因此，用戶(hù)在使用金山毒霸2011 SP3版對(duì)“潛行者”木馬進(jìn)行查殺后，就不會(huì)出現(xiàn)網(wǎng)友抱怨的系統(tǒng)文件丟失等殺毒“后遺癥”。

“三引擎”讓殺毒更輕松

金山毒霸2011 SP3版除了新增了系統(tǒng)修復(fù)引擎外，同時(shí)啟用了可信云查殺引擎與本地藍(lán)芯II引擎。也因此成為全球首款三引擎的殺毒軟件。其中，藍(lán)芯II引擎負(fù)責(zé)本地高效查殺，而可信云查殺引擎與云端對(duì)接識(shí)別未知文件，系統(tǒng)修復(fù)引擎修復(fù)中毒后造成的系統(tǒng)破壞。三引擎協(xié)力工作，不僅完美防范病毒，同時(shí)在清除病毒后使電腦正常如初。

首先，金山毒霸的可信云查殺引擎與海量文件身份數(shù)據(jù)的云安全服務(wù)連接，坐擁1000G黑白名單數(shù)據(jù)庫(kù)，識(shí)別電腦上每一個(gè)文件的安全性。其中，獨(dú)有的白名單優(yōu)先技術(shù)，因?yàn)榱私饽娔X上每一個(gè)文件的安全性,所以對(duì)可信的文件不再掃描處理,大大節(jié)省了系統(tǒng)資源與所用時(shí)間。這是傳統(tǒng)殺毒軟件所做不到的。在啟用了云查殺引擎之后，金山毒霸2011 產(chǎn)品體積僅為普通殺毒軟件的 1/3，對(duì)新病毒響應(yīng)在秒級(jí)完成,瞬間響應(yīng)千億病毒;查殺速度為傳統(tǒng)殺毒軟件6倍以上，最快超過(guò)1000個(gè)文件/秒;而且對(duì)未知病毒查殺也大大增強(qiáng)，在未知病毒到達(dá)用戶(hù)機(jī)器之前變成已知病毒。

此外，金山毒霸另外一個(gè)殺毒引擎——藍(lán)芯II(Bluechip II)本地引擎。該引擎為新一代應(yīng)用計(jì)算機(jī)科學(xué)、人工智能與社會(huì)科學(xué)結(jié)合研發(fā)的殺毒引擎。它與可信云查殺緊密結(jié)合工作，同時(shí)通過(guò)人工智能技術(shù)識(shí)別未知病毒。具有快速、輕巧、安全性高的特性。同時(shí)，藍(lán)芯II引擎引入的微特征識(shí)別技術(shù)，僅用很少量根特征,識(shí)別大量衍生病毒(包括未知新病毒);而多重判定腳本技術(shù)，擁有上百個(gè)篩選器，針對(duì)各類(lèi)病毒特征及行為進(jìn)行查殺，更加有效。