當(dāng)今,病毒和木馬對(duì)互聯(lián)網(wǎng)的威脅發(fā)生了很大的轉(zhuǎn)變����,傳統(tǒng)的人工分析已經(jīng)不足以支持龐大的病毒樣本數(shù)量。在這種情況下���,云安全技術(shù)誕生了�。它將原來(lái)手工分析病毒的傳統(tǒng)流程����,轉(zhuǎn)化為服務(wù)器端自動(dòng)處理的過(guò)程,這是安全界的一個(gè)巨大創(chuàng)新��,也是木馬制作者們最頭疼的防護(hù)模式�。
思科的總裁錢(qián)伯斯曾說(shuō)過(guò),云計(jì)算將是安全的災(zāi)難�,這個(gè)說(shuō)法在業(yè)內(nèi)也引發(fā)了一場(chǎng)不小的轟動(dòng)。
實(shí)際上����,這確實(shí)也并非聳人聽(tīng)聞,數(shù)據(jù)保護(hù)����、終端防護(hù)�、虛擬環(huán)境中的風(fēng)險(xiǎn)管理等信息安全問(wèn)題伴隨著云計(jì)算的來(lái)臨將更加復(fù)雜和棘手���,企業(yè)用戶的信息安全將面臨更加嚴(yán)峻的挑戰(zhàn)��。
近期����,同樣使用云計(jì)算技術(shù)的“云安全”���,也出了點(diǎn)狀況�����。
最近從微軟的惡意軟件保護(hù)中心公布的報(bào)告得知:在中國(guó)出現(xiàn)一個(gè)通過(guò)視頻插件方式傳播的Bohu木馬病毒����,它不但可以繞過(guò)各種殺毒軟件的查殺���。甚至還能直接阻斷殺軟跟“云”之間的溝通����,阻止殺毒軟件的和服務(wù)器的聯(lián)系和升級(jí)�。
根據(jù)該報(bào)告的解釋:Bohu病毒會(huì)將隨機(jī)數(shù)據(jù)加到自身文件,從而變成文件大小驚人的木馬�。以阻止基于哈希散列的檢測(cè)。為云查殺引擎上傳分析可疑程序制造障礙���。
通常云安全殺毒軟件掃描文件后�����,將文件的哈希散列發(fā)送到云服務(wù)器����,以確定服務(wù)器上是否有該文件的可用信息�����。當(dāng)一個(gè)病毒的哈希結(jié)果不斷變化時(shí)��,服務(wù)器將無(wú)法及時(shí)識(shí)別它����。
此病毒大多被捆綁在一些播放器的安裝文件中,在瀏覽某些非主流視頻網(wǎng)站�,如果用戶被某些視頻內(nèi)容所誘惑,可能會(huì)點(diǎn)擊安裝這些特定的播放器����。
其可能的出現(xiàn)形式如下:
安裝播放器的同時(shí)����,這些惡意的安裝包會(huì)給系統(tǒng)安裝一個(gè)基于SPI的數(shù)據(jù)過(guò)濾服務(wù)��,然后通過(guò)過(guò)濾特定數(shù)據(jù)包�,阻隔殺毒軟件客戶端和云端的通訊。
如果使用冰刃查看系統(tǒng)的SPI服務(wù)列表存在額外的netplayone.dll服務(wù)(不限于此名稱)�����,則證明系統(tǒng)已經(jīng)中毒�。
Bohu目前主要的變種被AVG檢測(cè)為:Dropper.Generic2.BJOV和Dropper.Generic2.BJMC。AVG能夠準(zhǔn)確的識(shí)別捆綁病毒的安裝包:
不過(guò)目前在Bohu病毒面前束手就擒的只有國(guó)內(nèi)流行一些主流殺軟��,短期內(nèi)普通用戶只要配合使用專業(yè)的國(guó)外殺軟都能對(duì)付這個(gè)病毒���。但要想從根本上解決這類問(wèn)題�����,還是需要使用AVG�、卡巴斯基這種有主動(dòng)防御功能的專業(yè)殺毒軟件��。
