隨著安全技術的發展,黑客都十分地清楚,在現在,利用網頁木馬進行肉雞的捕捉是最好的方法。這也造成了網頁木馬在網絡中泛濫成災,給電腦用戶造成了很大的威脅。有矛就有盾,各種網頁木馬攔截工具應運而生,這些工具不但可以對已知的網頁木馬進行攔截,還可以對很多未知的網頁木馬進行攔截。那麼這些程序在面對網頁木馬時的真實表現如何?今天我們就讓這些網頁木馬攔截工具在網頁木馬前過招,看看誰才是真正的網頁木馬克星。
為何能攔截未知網頁木馬
有一句話說得很好:“病毒庫的更新永遠比病毒更新慢。”很多人裝了殺毒軟件也中了病毒就是這個原因。那麼,這些網頁木馬攔截工具號稱能夠攔截未知的網頁木馬,它憑什麼這麼說,它的原理是什麼呢?
我們首先從網頁木馬的工作原理說起。網頁木馬並不是一種全新的木馬類型,而只是一種全新的木馬偽裝和傳播方式。黑客將木馬程序轉化為圖片、腳本、視頻等網頁可以識別的文件形式,當網友訪問這個網頁木馬後,如果系統存在該木馬利用的漏洞,那麼就會激活網頁木馬運行。接著網頁木馬通過腳本代碼自動下載黑客設置的木馬程序並運行,最終讓黑客捕獲大量肉雞。
而網頁木馬攔截工具的工作原理,就是在“木馬下載後運行”這一環節進行攔截的。當有文件准備在後台運行的時候,攔截工具就會進行攔截並提示用戶。因為它根本不會核對這是否是網頁木馬,只要網頁有類似可疑操作,就進行攔截,並通知用戶。這也是為何它們能夠防范未知網頁木馬的原因。
熱門網頁攔截工具
我們特意選擇了金山清理專家、IE衛士、瑞星卡卡、網頁木馬攔截器這4款當前比較有人氣的網頁木馬攔截工具。其中金山清理專家、瑞星卡卡都是有專業安全公司推出的安全工具,而IE衛士和網頁木馬攔截器則是專業的網頁木馬攔截器。
金山清理專家
金山清理專家是金山毒霸推出的一款安全工具,在最新版本中新增加了一個網頁木馬攔截功能。成功安裝清理專家後點擊工具欄中的“網頁防掛馬”功能,由於該功能是利用插件的形式來操作的,因此首先要點擊“安裝並開啟”按鈕來激活(圖1)。
目前該功能支持的浏覽器包括IE浏覽器,雖然程序聲稱可以支持Maxthon,但是在實際測試中並不支持Maxthon。
IE衛士
IE衛士是一款插件形式的網頁木馬攔截工具。雙擊“IE衛士”安裝程序後,程序會自動安裝到C:Program FilesIEKavass目錄下,接著自動注冊浏覽器BHO到IE浏覽器和Maxthon浏覽器中(圖2)。
由於Windows 2003系統在默認設置時不能自動加載BHO,要點擊IE浏覽器菜單下的“Internet選項”,在“高級”標簽中選擇“啟用第三方浏覽器擴展”選項,然後再進行插件的安裝運行即可。
瑞星卡卡
瑞星卡卡是瑞星公司推出的一款反流氓軟件,獨創“IE防漏牆”功能模塊,可以在流氓軟件、木馬、病毒等試圖通過IE漏洞入侵計算機的時候進行阻止。當瑞星卡卡成功在系統安裝以後,“IE防漏牆”功能模塊就會自動激活(圖3)。該功能目前只支持IE浏覽,除此以外包括Maxthon在內的浏覽器都不支持。
網頁木馬攔截器
網頁木馬攔截器這款全新的安全工具,無論是網頁木馬還是捆綁文件,都可以進行快速而有效的攔截。由於網頁木馬攔截器是一款綠色程序,因此當我們運行它以後只要點擊“開始攔截”按鈕,就能夠成功的啟動程序的攔截功能,並且最小化隱藏到系統任務欄(圖4)。該功能支持包括IE浏覽器、Maxthon在內的所有使用IE浏覽器內核的浏覽器。
與網頁木馬現場過招
要測試這些網頁木馬攔截器是否真有用,就必須使用網頁木馬來進行測試才行。今天我們測試使用的網頁木馬,分別利用MS-06014漏洞、MS-06014變種、ANI漏洞、以及最新的PPStream溢出漏洞創建,可以說是涵蓋了老、中、新三代網頁木馬的典型。
金山清理專家簡單易用
當我們使用IE浏覽器訪問這些網頁木馬後,金山清理專家會在系統桌面的右下角彈出一個窗口,提示用戶浏覽器在後台下載了一個新文件,已經阻止了該程序的運行(圖5)。
點擊窗口中的“查看詳情”按鈕,可以了解更多的信息。當清理專家在面對這4個不同的網頁木馬的時候(其中包括一個MS-06014網頁木馬的變種),都能成功的進行提示並攔截。由此證明金山清理專家的攔截能力還是非常突出的。但是金山清理專家有一個明顯的缺陷,就是不能讓用戶自己對下載可疑文件進行選擇運行或阻止的操作。
IE衛士功能簡單但實用
當我們訪問這些漏洞的網頁木馬後,很快IE衛士就彈出一個提示窗口(圖6),告知用戶“浏覽器試圖創建進程,這是網頁木馬的典型行為,如果你感到意外,敬請攔截!”,同時會在程序路徑選項中顯示出可疑程序的路徑。
我們只要點擊“攔截(推薦)”按鈕,就可以成功的阻止該網頁木馬的操作。如果可以肯定該文件的合法性,可以選擇“將此程序添加到信任區,以後不在提示”選項,並且點擊“允許按鈕”即可。通過對這些網頁木馬的測試,發現IE衛士可以很好的攔截所有的網頁木馬。
瑞星卡卡防漏不足
當我們訪問網頁木馬後,瑞星卡卡的“IE防漏牆”功能,也會彈出一個相應的提示窗口。提醒用戶浏覽器試圖運行下面的程序,並且提示用戶一些惡意程序的偽裝方式。點擊“阻止”按鈕就可以阻止文件的運行,而點擊“允許”即可就會執行該文件的運行(圖7)。
對於普通生成的網頁木馬,IE防漏牆都可以成功的攔截。可是當我們浏覽網頁木馬的變種時,該網頁木馬就成功的進行了運行,這說明IE防漏牆並沒有防止住這個漏洞。
為何不能夠發現變種的網頁木馬,我們對它進行了分析。直接運行木馬程序mm.exe,瑞星卡卡會警告。但若運行command mm.exe就可以成功運行木馬,但是瑞星卡卡卻沒有出現任何的警告信息。
從技術角度分析是因為瑞星卡卡攔截的是CreateProcess之類的函數,並且它會放過經過認證的程序(諸如command等),通過事實證明這是相當危險的設置。而其他程序攔截的卻是比它更底層的NTCreateProcess之類的函數,而且不會放過任何一個新進程的創建,木馬要想繞過NTCreateProcess創建進程從目前來看是不大可能的。
網頁木馬攔截器操作要求較高
現在我們測試網頁木馬攔截器,當浏覽器遇見網頁木馬的時候,程序將自動的彈出操作界面。這時我們就可以在“進程”標簽中發現一個帶問號的進程(圖8)。
從狀態欄目裡面可以看出該進程“正在啟動”,說明在正在啟動的時候就被攔截了,這時用戶可以根據自己的經驗來判斷該進程的合法性。
當用戶判斷出進程的合法性以後,就可以通過右鍵菜單中的命令來操作。如果這個進程是安全的話,那麼點擊“信任進程”按鈕就表示允許程序執行,反之點擊“結束進程”按鈕就表示禁止該進程的運行。
如果不想以後對同一個進程再進行判斷的話,那麼可以通過右鍵菜單將其添加到白名單或黑名單中。如果被添加到黑名單中,那麼以後該進程運行的時候,將被程序自動的進行攔截並記錄。
總結
現在各種各樣的網頁木馬層出不窮,因此一款性能良好的網頁木馬攔截工具可以極大地提高系統的安全系數。同時,因為它們自身的不需要病毒庫,可以防范未知網頁木馬等特性,以後必將成為系統安全防范體系中的重要一員。
經過我們的測試,我們認為除了瑞星卡卡不能夠防范已有變種網頁木馬外,其他的3款軟件都能夠有效地防范網頁木馬。其中金山清理專家、IE衛士、瑞星卡卡,都是將保護插件插入到浏覽器進程中,因此在運行浏覽器的時候就會自動加載進行保護,這對普通用戶是相當有幫助的,而網頁木馬攔截器需要用戶專門運行才可以進行保護,在方便程度上要略遜一籌。
在兼容性方面,用戶只使用IE浏覽器的話,選擇清理專家和IE衛士都非常的不錯。如果使用其他浏覽器的話,那麼網頁木馬攔截器和IE則是當仁不讓的選擇。
另外由於三款攔截器都是插入到浏覽器進程的,所以不會被黑客程序所終止或卸載。而網頁木馬攔截器由於存在自己的進程,可能會被惡意腳本所結束而失去作用。
在操作難度上,網頁木馬攔截器需要用戶能夠自己判斷進程,這需要用戶具有一定的安全基礎才行,所以並不太適合初級用戶