论文部分内容阅读
在线病毒、间谍软件扫描已经从一种概念中的产品转为一种真正意义上的服务,瑞星、趋势科技和熊猫公司所提供的在线服务也成为了网络公民遭到病毒入侵后的第一应急方案。
然而,全球目前最活跃的在线杀毒网站不是这些大牌安全厂商所提供的服务,而是在“911”之后由一群黑客创办的antispyware911.com。这个网站看起来非常正统,完全就像是一个正规的而且可信的安全网站,但其实这是个彻头彻尾的恶意网站。
恶意网站的伪装术
antispyware911.com区别于其他恶意网站的高明之处就在于它假冒了提供间谍软件防范服务在线网站,并且声称提供最专业的免费间谍软件保护。当用户下载免费的扫描插件后,既被植入一个特洛伊木马。
当用户被感染后,antispyware911.com后台的服务器会将这些终端用户全部控制起来,并创建出一个高度复杂的攻击平台,形成Storm网络。
IronPort亚太及非洲区总经理Joy Ghosh介绍说,这些被antispyware911.com感染的终端系统将连接成一个对等(P2P)网络,以保持冗余和分布式通信。在Storm出现之前,僵尸网络依靠集中指挥和控制的结构。它们经常使用IRC通道,等待操纵者的指令。
但是,僵尸网络这种较陈旧的设计有一个弱点,通过关闭中央IRC通道或阻截对其的访问,就能有效地使僵尸网络“身首异处”,使之成为一堆废物。Storm吸取了这些弱点的教训,转而采用分布式指挥和控制结构。
为了保持生命力和预防逆向工程,antispyware911.com背后的Storm网络已经具备了自我防御特性;如果对它的检查太接近,它很可能会自动地发动分布式拒绝服务(DDoS)攻击。在爆发前期,Storm会反复攻击在调查僵尸网络时意外引发了报复性攻击的研究者。这样的DDoS能力也被用来对付诸多反垃圾邮件和计算机安全组织。
尽管可以通过多引擎病毒扫描网VirSCAN和可疑文件分析服务网站VirusTotal对antispyware911.com所提供的下载插件Setup.exe进行扫描,但是30余家防病毒厂商中只有Mcafee和Norman等为数不多的几家安全厂商发现了特洛伊木马。虽然IronPort的所提供的名誉度过滤技术服务将其评为-9分,并对该网站的恶劣行径进行了上报,但是这个网站现今依然存在。
通过antispyware911.com下载的恶意软件虽然与病毒类似,但却是一种独特的威胁,有时无法被传统的防病毒扫描引擎监测到。
“合法”网页更危险
2007年5月,Google发布研究报告,对于Google搜索Crawler索引的所有网页出现的恶意软件进行了分析。该研究指出,全球有十分之一的网页染有恶意代码,其中70%基于Web的感染是从“合法”(声誉分值中等偏上)网页得到的。
如今,更多的威胁来自于出现安全漏洞的合法网站,攻击者附着于用户信任的知名网站,在用户认为他们在浏览非常安全的网站时下载其恶意代码。Joy Ghosh表示,第一代URL过滤技术并未对这类威胁提供足够的保护,企业应该依靠Web声誉系统监测并拦截嵌入式威胁。
据业内估计,全球大约75%的公司电脑感染了间谍软件,但是在网络周边部署了恶意软件防御系统的企业却不足10%。
IronPort大中华区总经理吴若松认为,当许多用户在台式机上运行了一两种防病毒引擎,并由此认为他们对于恶意软件进行了防护时,却常常事与愿违。许多公司开始在网络的多个点上部署专门的恶意软件扫描引擎,以保护敏感的公司数据。
吴若松特别强调,基于Web的恶意软件和间谍软件带来的安全风险,还会使企业面临着合规性和效率方面的风险,这些风险是由于在组织内部不适当地使用Web带来的。要想控制和防范Web带来的风险,最好在企业网关进行。
如果企业网络遭到恶意软件的入侵,企业也将随时处于违反法规遵从和数据保密规范的风险之下,而这种违规行为一旦造成泄密,其代价将非常高昂。IronPort S系列Web安全网关将传统的URL过滤、信誉过滤和恶意软件过滤功能集中到单一平台来消除Web风险,因为其IronPort DVS引擎提供了一种能够匹配不同厂商多种特征码类型的集成化单设备解决方案。
据悉,DVS引擎的首批特征码类型集来自于专业的恶意软件防范公司Webroot,其威胁研究小组拥有业界第一套自动化间谍软件检测系统——Phileas,该系统通过每天智能地扫描数以百萬的站点来发现现有的和新出现的安全威胁。
Web现在是主要的威胁传播载体,目前的网管防御机制已经证明不足以抵御多种基于Web的恶意软件入侵,使公司网络暴露在这些威胁带来的内在危险之下。类似antispyware911.com这种基于Web的恶意软件传播速度快,变种能力强,其危害性日益严重。对企业来说,拥有一个强健的能够保护企业的网络周边并抵御这些安全威胁侵害的安全平台就显得极为重要。
然而,全球目前最活跃的在线杀毒网站不是这些大牌安全厂商所提供的服务,而是在“911”之后由一群黑客创办的antispyware911.com。这个网站看起来非常正统,完全就像是一个正规的而且可信的安全网站,但其实这是个彻头彻尾的恶意网站。
恶意网站的伪装术
antispyware911.com区别于其他恶意网站的高明之处就在于它假冒了提供间谍软件防范服务在线网站,并且声称提供最专业的免费间谍软件保护。当用户下载免费的扫描插件后,既被植入一个特洛伊木马。
当用户被感染后,antispyware911.com后台的服务器会将这些终端用户全部控制起来,并创建出一个高度复杂的攻击平台,形成Storm网络。
IronPort亚太及非洲区总经理Joy Ghosh介绍说,这些被antispyware911.com感染的终端系统将连接成一个对等(P2P)网络,以保持冗余和分布式通信。在Storm出现之前,僵尸网络依靠集中指挥和控制的结构。它们经常使用IRC通道,等待操纵者的指令。
但是,僵尸网络这种较陈旧的设计有一个弱点,通过关闭中央IRC通道或阻截对其的访问,就能有效地使僵尸网络“身首异处”,使之成为一堆废物。Storm吸取了这些弱点的教训,转而采用分布式指挥和控制结构。
为了保持生命力和预防逆向工程,antispyware911.com背后的Storm网络已经具备了自我防御特性;如果对它的检查太接近,它很可能会自动地发动分布式拒绝服务(DDoS)攻击。在爆发前期,Storm会反复攻击在调查僵尸网络时意外引发了报复性攻击的研究者。这样的DDoS能力也被用来对付诸多反垃圾邮件和计算机安全组织。
尽管可以通过多引擎病毒扫描网VirSCAN和可疑文件分析服务网站VirusTotal对antispyware911.com所提供的下载插件Setup.exe进行扫描,但是30余家防病毒厂商中只有Mcafee和Norman等为数不多的几家安全厂商发现了特洛伊木马。虽然IronPort的所提供的名誉度过滤技术服务将其评为-9分,并对该网站的恶劣行径进行了上报,但是这个网站现今依然存在。
通过antispyware911.com下载的恶意软件虽然与病毒类似,但却是一种独特的威胁,有时无法被传统的防病毒扫描引擎监测到。
“合法”网页更危险
2007年5月,Google发布研究报告,对于Google搜索Crawler索引的所有网页出现的恶意软件进行了分析。该研究指出,全球有十分之一的网页染有恶意代码,其中70%基于Web的感染是从“合法”(声誉分值中等偏上)网页得到的。
如今,更多的威胁来自于出现安全漏洞的合法网站,攻击者附着于用户信任的知名网站,在用户认为他们在浏览非常安全的网站时下载其恶意代码。Joy Ghosh表示,第一代URL过滤技术并未对这类威胁提供足够的保护,企业应该依靠Web声誉系统监测并拦截嵌入式威胁。
据业内估计,全球大约75%的公司电脑感染了间谍软件,但是在网络周边部署了恶意软件防御系统的企业却不足10%。
IronPort大中华区总经理吴若松认为,当许多用户在台式机上运行了一两种防病毒引擎,并由此认为他们对于恶意软件进行了防护时,却常常事与愿违。许多公司开始在网络的多个点上部署专门的恶意软件扫描引擎,以保护敏感的公司数据。
吴若松特别强调,基于Web的恶意软件和间谍软件带来的安全风险,还会使企业面临着合规性和效率方面的风险,这些风险是由于在组织内部不适当地使用Web带来的。要想控制和防范Web带来的风险,最好在企业网关进行。
如果企业网络遭到恶意软件的入侵,企业也将随时处于违反法规遵从和数据保密规范的风险之下,而这种违规行为一旦造成泄密,其代价将非常高昂。IronPort S系列Web安全网关将传统的URL过滤、信誉过滤和恶意软件过滤功能集中到单一平台来消除Web风险,因为其IronPort DVS引擎提供了一种能够匹配不同厂商多种特征码类型的集成化单设备解决方案。
据悉,DVS引擎的首批特征码类型集来自于专业的恶意软件防范公司Webroot,其威胁研究小组拥有业界第一套自动化间谍软件检测系统——Phileas,该系统通过每天智能地扫描数以百萬的站点来发现现有的和新出现的安全威胁。
Web现在是主要的威胁传播载体,目前的网管防御机制已经证明不足以抵御多种基于Web的恶意软件入侵,使公司网络暴露在这些威胁带来的内在危险之下。类似antispyware911.com这种基于Web的恶意软件传播速度快,变种能力强,其危害性日益严重。对企业来说,拥有一个强健的能够保护企业的网络周边并抵御这些安全威胁侵害的安全平台就显得极为重要。