谁是克星?4款网页木马拦截工具大比武

2008-02-23 07:32:11来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  随着安全技术的发展,黑客都十分地清楚,在现在,利用网页木马进行肉鸡的捕捉是最好的方法。这也造成了网页木马在网络中泛滥成灾,给电脑用户造成了很大的威胁。有矛就有盾,各种网页木马拦截工具应运而生,这些工具不但可以对已知的网页木马进行拦截,还可以对很多未知的网页木马进行拦截。那么这些程序在面对网页木马时的真实表现如何?今天我们就让这些网页木马拦截工具在网页木马前过招,看看谁才是真正的网页木马克星。

  为何能拦截未知网页木马

  有一句话说得很好:“病毒库的更新永远比病毒更新慢。”很多人装了杀毒软件也中了病毒就是这个原因。那么,这些网页木马拦截工具号称能够拦截未知的网页木马,它凭什么这么说,它的原理是什么呢?

  我们首先从网页木马的工作原理说起。网页木马并不是一种全新的木马类型,而只是一种全新的木马伪装和传播方式。黑客将木马程序转化为图片、脚本、视频等网页可以识别的文件形式,当网友访问这个网页木马后,如果系统存在该木马利用的漏洞,那么就会激活网页木马运行。接着网页木马通过脚本代码自动下载黑客设置的木马程序并运行,最终让黑客捕获大量肉鸡。

  而网页木马拦截工具的工作原理,就是在“木马下载后运行”这一环节进行拦截的。当有文件准备在后台运行的时候,拦截工具就会进行拦截并提示用户。因为它根本不会核对这是否是网页木马,只要网页有类似可疑操作,就进行拦截,并通知用户。这也是为何它们能够防范未知网页木马的原因。

  热门网页拦截工具

  我们特意选择了金山清理专家、IE卫士、瑞星卡卡、网页木马拦截器这4款当前比较有人气的网页木马拦截工具。其中金山清理专家、瑞星卡卡都是有专业安全公司推出的安全工具,而IE卫士和网页木马拦截器则是专业的网页木马拦截器。

  金山清理专家

  金山清理专家是金山毒霸推出的一款安全工具,在最新版本中新增加了一个网页木马拦截功能。成功安装清理专家后点击工具栏中的“网页防挂马”功能,由于该功能是利用插件的形式来操作的,因此首先要点击“安装并开启”按钮来激活。

  目前该功能支持的浏览器包括IE浏览器,虽然程序声称可以支持Maxthon,但是在实际测试中并不支持Maxthon。

  IE卫士

  IE卫士是一款插件形式的网页木马拦截工具。双击“IE卫士”安装程序后,程序会自动安装到C:\Program Files\IEKavass目录下,接着自动注册浏览器BHO到IE浏览器和Maxthon浏览器中。

  由于Windows 2003系统在默认设置时不能自动加载BHO,要点击IE浏览器菜单下的“Internet选项”,在“高级”标签中选择“启用第三方浏览器扩展”选项,然后再进行插件的安装运行即可。

  瑞星卡卡

  瑞星卡卡是瑞星公司推出的一款反流氓软件,独创“IE防漏墙”功能模块,可以在流氓软件、木马、病毒等试图通过IE漏洞入侵计算机的时候进行阻止。当瑞星卡卡成功在系统安装以后,“IE防漏墙”功能模块就会自动激活。该功能目前只支持IE浏览,除此以外包括Maxthon在内的浏览器都不支持。

  网页木马拦截器

  网页木马拦截器这款全新的安全工具,无论是网页木马还是捆绑文件,都可以进行快速而有效的拦截。由于网页木马拦截器是一款绿色程序,因此当我们运行它以后只要点击“开始拦截”按钮,就能够成功的启动程序的拦截功能,并且最小化隐藏到系统任务栏。该功能支持包括IE浏览器、Maxthon在内的所有使用IE浏览器内核的浏览器。

  与网页木马现场过招

  要测试这些网页木马拦截器是否真有用,就必须使用网页木马来进行测试才行。今天我们测试使用的网页木马,分别利用MS-06014漏洞、MS-06014变种、ANI漏洞、以及最新的PPStream溢出漏洞创建,可以说是涵盖了老、中、新三代网页木马的典型。

  金山清理专家简单易用

  当我们使用IE浏览器访问这些网页木马后,金山清理专家会在系统桌面的右下角弹出一个窗口,提示用户浏览器在后台下载了一个新文件,已经阻止了该程序的运行。

  点击窗口中的“查看详情”按钮,可以了解更多的信息。当清理专家在面对这4个不同的网页木马的时候(其中包括一个MS-06014网页木马的变种),都能成功的进行提示并拦截。由此证明金山清理专家的拦截能力还是非常突出的。但是金山清理专家有一个明显的缺陷,就是不能让用户自己对下载可疑文件进行选择运行或阻止的操作。

  IE卫士功能简单但实用

  当我们访问这些漏洞的网页木马后,很快IE卫士就弹出一个提示窗口,告知用户“浏览器试图创建进程,这是网页木马的典型行为,如果你感到意外,敬请拦截!”,同时会在程序路径选项中显示出可疑程序的路径。

  我们只要点击“拦截(推荐)”按钮,就可以成功的阻止该网页木马的操作。如果可以肯定该文件的合法性,可以选择“将此程序添加到信任区,以后不在提示”选项,并且点击“允许按钮”即可。通过对这些网页木马的测试,发现IE卫士可以很好的拦截所有的网页木马。

  瑞星卡卡防漏不足

  当我们访问网页木马后,瑞星卡卡的“IE防漏墙”功能,也会弹出一个相应的提示窗口。提醒用户浏览器试图运行下面的程序,并且提示用户一些恶意程序的伪装方式。点击“阻止”按钮就可以阻止文件的运行,而点击“允许”即可就会执行该文件的运行。

  对于普通生成的网页木马,IE防漏墙都可以成功的拦截。可是当我们浏览网页木马的变种时,该网页木马就成功的进行了运行,这说明IE防漏墙并没有防止住这个漏洞。

  为何不能够发现变种的网页木马,我们对它进行了分析。直接运行木马程序mm.exe,瑞星卡卡会警告。但若运行command mm.exe就可以成功运行木马,但是瑞星卡卡却没有出现任何的警告信息。

  从技术角度分析是因为瑞星卡卡拦截的是CreateProcess之类的函数,并且它会放过经过认证的程序(诸如command等),通过事实证明这是相当危险的设置。而其他程序拦截的却是比它更底层的NTCreateProcess之类的函数,而且不会放过任何一个新进程的创建,木马要想绕过NTCreateProcess创建进程从目前来看是不大可能的。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:密保卡也不安全小心魔兽新盗号木马

下一篇:将谁拖进地狱 用场景漏洞盗QQ破解之法