騙局升級 安全軟件變“流氓”

應(yīng)茜羽

為了提高欺騙用戶的成功率,網(wǎng)絡(luò)罪犯利用大眾的恐懼和焦慮心理兜售流氓安全軟件。賽門鐵克基于信譽(yù)的安全技術(shù),為用戶帶來全新的終端防護(hù)方法,消除用戶選擇流氓安全軟件的可能性。

目前,電腦使用中最不安全的因素是什么?

“是人!”賽門鐵克資深首席解決方案顧問林育民說,“在電腦的使用過程中,惡意軟件的下載、個人信息泄露大都是由于用戶的低警惕性和不良的使用習(xí)慣造成的?！辟愰T鐵克《流氓安全軟件報告》的最新調(diào)查結(jié)果顯示,從2008年開始,網(wǎng)絡(luò)上就出現(xiàn)了貌似好心的安全軟件。其實(shí),這些全都是流氓安全軟件,它們非但不保護(hù)用戶的終端安全,反而使用戶面臨更大的遭受攻擊的風(fēng)險。

撕開流氓安全軟件的偽裝

隨著互聯(lián)網(wǎng)的不斷發(fā)展,基于Web的攻擊成為了互聯(lián)網(wǎng)上進(jìn)行惡意活動的主要手段。而這種新的攻擊手段也造成了互聯(lián)網(wǎng)上的惡意代碼數(shù)量高速增長。2007年,賽門鐵克檢測到的惡意代碼數(shù)量為624267個,而到了2008年,惡意代碼的數(shù)量爆增到了1656227個。

“惡意代碼數(shù)量增長的背后,是一條逐漸成熟的地下經(jīng)濟(jì)產(chǎn)業(yè)鏈。為了達(dá)到目的,黑客并不滿足攻擊數(shù)量的增加,產(chǎn)業(yè)鏈背后巨大的利益誘惑致使他們使用更多手段提高他們的攻擊成功率?！?林育民說。

賽門鐵克監(jiān)測到,從2008年開始,網(wǎng)絡(luò)上出現(xiàn)了大量的仿冒安全軟件。黑客正是利用了人們的恐懼心理來誘騙用戶下載、安裝這些流氓安全軟件,從而達(dá)到他們的非法目的。

為了提高欺騙用戶的成功率,流氓安全軟件的制作者們對自己的程序進(jìn)行了設(shè)計,并模仿合法安全軟件程序的外觀,使這些軟件看起來更具可信度。“這些流氓軟件的廣告很迷惑人,比如說我這個軟件獲得過什么獎了,或者得過什么好評了,讓用戶相信并且去使用它?！?林育民詳細(xì)地解說道,“甚至在一些合法的網(wǎng)站,如博客、論壇、社交網(wǎng)站等都可以看到這種誘導(dǎo)的方式。”

此外,經(jīng)過對搜索結(jié)果的精心排序,騙局的策劃者還讓流氓安全軟件的下載網(wǎng)站出現(xiàn)在搜索結(jié)果的前列。林育民舉了一個例子來說明:“一旦用戶發(fā)現(xiàn)自己感染了病毒,并且他發(fā)現(xiàn)自己電腦上安裝的殺毒軟件殺不掉這個病毒時,那么他要做的第一件事就是上搜索網(wǎng)站尋找方法。搜索結(jié)果則顯示有一種移除工具,你可以下載下來用來殺毒。其實(shí),這個所謂的移除工具本身就是流氓安全軟件?！?/p>

一些惡意網(wǎng)站還使用了合法在線支付服務(wù)來處理信用卡及其他交易,并為受害者回復(fù)一封帶有購物發(fā)票的電子郵件,購物發(fā)票上還附有序列號和客戶服務(wù)號碼。這樣千方百計想讓用戶中招,可謂“用心良苦”!“所以用戶在使用的時候要很小心,有時候看起來整個過程是合法的,購買的時候也顯得相當(dāng)規(guī)矩,可是實(shí)際上是要騙取你消費(fèi)用的信用卡號碼!”林育民接著說道。

調(diào)查顯示,排名前五十位的流氓安全軟件騙局中,93%的軟件是用戶有意識下載的。截至2009年6月,賽門鐵克公司已監(jiān)測到250多個具有明顯特征的流氓安全軟件程序。

下載這些流氓安全軟件產(chǎn)品的用戶,其初期的金錢損失從30美元至100美元不等。然而,找回個人身份信息相關(guān)的成本將遠(yuǎn)不止這些。這些流氓程序不僅可以騙取用戶的錢財,而且還會將用戶購買產(chǎn)品時提供的個人詳情和信用卡信息用于更多的詐欺活動或在黑市上販賣,從而導(dǎo)致個人身份被竊。

基于信譽(yù)的安全技術(shù)

傳統(tǒng)的防病毒軟件主要依賴于使用病毒簽名的黑名單技術(shù)來攔截惡意軟件。2000年,賽門鐵克平均每天發(fā)布5個新型病毒簽名。而現(xiàn)如今,盡管每個簽名仍然能夠檢測出許多不同的惡意軟件,但是安全廠商每天發(fā)布的簽名已經(jīng)達(dá)到了上千個。林育民解釋說:“從2006年開始,我們就發(fā)現(xiàn)惡意代碼的數(shù)量不斷上升。為什么在短時間內(nèi)產(chǎn)生這么多變種?原因就是只要黑客寫出一個惡意代碼,再利用“混淆”、“包裝”等技術(shù),就能使一個單一的威脅變?yōu)樯锨€,操作簡單而且迅速。這樣,傳統(tǒng)的使用病毒簽名的方法就沒有辦法制止,反而會占用用戶大量的資源。”

賽門鐵克基于信譽(yù)的安全技術(shù)補(bǔ)充了傳統(tǒng)安全技術(shù)的不足。首先,該技術(shù)充分利用多方數(shù)據(jù)資源,包括Norton Community Watch 成員提供的匿名數(shù)據(jù),軟件發(fā)行商提供的數(shù)據(jù)以及在針對大型企業(yè)用戶發(fā)起的數(shù)據(jù)收集項(xiàng)目中獲得的數(shù)據(jù)。這些數(shù)據(jù)會持續(xù)不斷地更新到信譽(yù)引擎,以此確定每一軟件文檔的安全信譽(yù)等級。該技術(shù)所利用的信息包括文檔的相關(guān)性、使用年限以及用于計算高度精確的信譽(yù)分?jǐn)?shù)的其他因素。最后,通過一個由賽門鐵克服務(wù)器構(gòu)成的大型云基礎(chǔ)架構(gòu),將這些信譽(yù)值提供給用戶。

相較于其他競爭對手,賽門鐵克基于信譽(yù)的安全技術(shù)的優(yōu)勢還是很明顯的,主要體現(xiàn)在:第一,文件信譽(yù)評級是可計算可預(yù)測的,通過大量歷史數(shù)據(jù),賽門鐵克文件信譽(yù)評級采用了可計算的模式來預(yù)測某個全新的文件是好還是壞的可能性,用戶只需查看該文件屬性;第二,賽門鐵克文件信譽(yù)評級無需訪問完整的惡意軟件樣本原始文件,因?yàn)橘愰T鐵克文件信譽(yù)評級是一種可預(yù)測的技術(shù),它無需訪問完整的樣本文件也能提供一直覆蓋到后端的相關(guān)信息,而其它競爭產(chǎn)品仍需訪問整個原始文件;第三,賽門鐵克文件信譽(yù)評級持續(xù)更新所有文件的信譽(yù)狀況,相比其它競爭產(chǎn)品需要將文件樣本放入陣列等待分析來說,賽門鐵克文件信譽(yù)評級則持續(xù)不斷地提煉所有信譽(yù)數(shù)據(jù)而無需等待,是一種更為強(qiáng)健且具有長期保障的解決方案。

諾頓網(wǎng)絡(luò)安全特警2010及諾頓防病毒軟件2010中的 Download Insight 功能就能利用信譽(yù)信息來判斷每份文檔的安全性。用戶可點(diǎn)擊任意一個可執(zhí)行文檔以獲知其來源、被賽門鐵克發(fā)現(xiàn)的時間以及正在被多少用戶使用,當(dāng)然還有該文檔的安全信譽(yù),從而為用戶提供更加積極有效的安全防護(hù)。