鎖主頁、刷流量、狂挖礦……頑固病毒家族為何如此猖獗?

相信很多網(wǎng)友都曾有過這樣的遭遇:電腦中毒后瀏覽器主頁莫名被篡改,時不時會推出各類推廣鏈接,使用殺毒軟件無法將其斬草除根,即便格式化重裝系統(tǒng)后也會卷土重來,猶如“狗皮膏藥”一般賴在電腦中,令中招用戶苦不堪言。

其實,這類病毒就是頑固病毒家族的一種。該類病毒木馬采用刷流量、鎖主頁、惡意推廣、網(wǎng)絡(luò)攻擊、挖礦等變現(xiàn)方式牟利,給用戶的信息及財產(chǎn)安全造成嚴(yán)重威脅。在此背景下,騰訊安全詳細(xì)盤點過去一年各類頑固病毒木馬入侵事件,從其獲利變現(xiàn)方式、傳播渠道、以及對抗技術(shù)、典型案例等方面展開,全面剖析Bootkit/Rootkit 病毒家族的主要態(tài)勢及變化趨勢,并為廣大企業(yè)及個人用戶防范頑固病毒木馬提供了實用建議。

頑固病毒“花式”獲利 游戲外掛工具成“重災(zāi)區(qū)”

作為2018年最為活躍的病毒木馬,頑固病毒木馬具備啟動早、隱蔽性高、反復(fù)感染等顯著特點,從而橫行網(wǎng)絡(luò)。值得一提的是,病毒作者從入侵過程中發(fā)現(xiàn)系列變現(xiàn)獲利之道,一度讓普通用戶蒙受重大經(jīng)濟(jì)損失。

數(shù)據(jù)顯示,目前頑固病毒的主要變現(xiàn)獲利包括鎖主頁、刷流量、惡意推廣等方式,占比前三的依次為35%、30%、18%。隨著挖礦黑產(chǎn)的興起,挖礦獲利已上升至10%,暗云新變種等Bootkit木馬也轉(zhuǎn)投挖礦獲利。

鎖主頁、刷流量、狂挖礦……頑固病毒家族為何如此猖獗?

  (圖:頑固病毒木馬主要變現(xiàn)獲利方式)

事實上,目前該類病毒木馬的傳播渠道已呈多元化發(fā)展。作為病毒傳播的重要載體,盜版Ghost系統(tǒng)通過廣告競價排名獲得網(wǎng)絡(luò)訪問量以吸引用戶下載安裝內(nèi)嵌病毒的軟件,最終劫持主頁等手段進(jìn)行獲利;同時盜版激活工具、游戲外掛及各類下載器,針對特定目標(biāo)人群發(fā)動定向攻擊;另外第三方流氓軟件也是頑固病毒的重要傳播渠道,以看似“正常”的軟件誘導(dǎo)用戶下載,繼而向用戶電腦上安裝病毒文件。

鎖主頁、刷流量、狂挖礦……頑固病毒家族為何如此猖獗?

  (圖:帶毒盜版Ghost系統(tǒng)廣告競價排名)

不止于普通用戶,頑固病毒還會通過弱口令爆破、漏洞利用等入侵方式集中攻擊企業(yè)用戶。近年來,隨著挖礦木馬、勒索病毒的興起,挖礦勒索等病毒為了提升查殺難度,獲得更早的執(zhí)行機(jī)會,也會與頑固病毒進(jìn)行捆綁傳播。

對此,《報告》提醒企業(yè)用戶,盡量關(guān)閉不必要的文件共享和端口,對重要文件和數(shù)據(jù)進(jìn)行定期非本地備份;采用高強(qiáng)度的密碼,同時對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制。

頑固病毒三大技術(shù)對抗手段:攔截過濾、對抗殺軟、自保護(hù)

《報告》指出,該類病毒作者不斷提升攔截過濾、對抗殺軟、自保護(hù)等技術(shù)實現(xiàn)對抗殺軟。首先,頑固病毒木馬作者通過注冊各種各樣的回調(diào)、hook系統(tǒng)相關(guān)函數(shù),以合適的時間獲得執(zhí)行機(jī)會,在回調(diào)函數(shù)中完成相關(guān)的攔截過濾功能,直接攔截包括文件過濾、網(wǎng)絡(luò)過濾等文件。

鎖主頁、刷流量、狂挖礦……頑固病毒家族為何如此猖獗?

  (圖:獨(dú)狼Rootkit過濾點)

其次,為躲避殺軟查殺,病毒作者采用各種手段完成對抗,包括病毒文件名隨機(jī)化、阻止殺毒軟件進(jìn)程啟動、設(shè)備占坑、阻斷聯(lián)網(wǎng)、重定向、禁寫B(tài)CD配置文件等升級技術(shù)等。此外,病毒作者會采用“自保護(hù)“方式,通過阻止或者隱藏自身注冊表以達(dá)到自保護(hù)的目的。

網(wǎng)絡(luò)攻擊威脅不斷加劇 技術(shù)創(chuàng)新守護(hù)用戶網(wǎng)絡(luò)安全

縱觀整個2018年,利用頑固病毒發(fā)動的網(wǎng)絡(luò)攻擊愈發(fā)頻繁。從“獨(dú)狼一代”到“暗云變種”再到“外掛幽靈”團(tuán)伙,頑固病毒逐漸與廣大用戶生活息息相關(guān),嚴(yán)重威脅用戶網(wǎng)絡(luò)安全。

以“外掛幽靈”團(tuán)伙為例,去年10月,騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn),“外掛幽靈”團(tuán)伙利用七哥輔助網(wǎng)等多個游戲輔助網(wǎng)站傳播“雙槍”、“紫狐”等木馬病毒。這些網(wǎng)站提供的多款游戲外掛工具會私自攜帶多個木馬病毒,在安裝過程中會釋放鎖主頁程序、開心輸入法和“紫狐”木馬下載器等惡意程序,給用戶造成不必要的經(jīng)濟(jì)損失和麻煩。

綜合整個《報告》可以看出,頑固病毒憑借隱蔽性強(qiáng)、反復(fù)感染、難以查殺等特點,逐漸成為黑產(chǎn)分子慣用攻擊方式之一。騰訊安全對此建議用戶務(wù)必提高網(wǎng)絡(luò)安全意識,保持騰訊電腦管家等安全軟件實時開啟狀態(tài)。如果用戶已經(jīng)中招,在用殺毒軟件查殺過程中被強(qiáng)制重啟,導(dǎo)致殺毒過程終端無法徹底清除該病毒時,可以使用騰訊電腦管家PE版急救箱進(jìn)行查殺,可徹底查殺頑固病毒。

鎖主頁、刷流量、狂挖礦……頑固病毒家族為何如此猖獗?

  (圖:騰訊電腦管家急救箱)

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-02-28
鎖主頁、刷流量、狂挖礦……頑固病毒家族為何如此猖獗?
相信很多網(wǎng)友都曾有過這樣的遭遇:電腦中毒后瀏覽器主頁莫名被篡改,時不時會推出各類推廣鏈接,使用殺毒軟件無法將其斬草除根,即便格式化重裝系統(tǒng)后也會卷土重來,猶如&

長按掃碼 閱讀全文