为了让计算机感染恶意软件,网络罪犯必须:

  • 诱使用户启动一个受感染的文件;或
  • 通过操作系统中的漏洞或设备上运行的任何应用程序软件,尝试入侵受害者的计算机

与此同时,更专业的网络罪犯还会试图确保他们的恶意软件能够避开受害者计算机上运行的任何反病毒软件。

用于对抗反病毒软件的技术

为加大实现其目标的可能性,网络罪犯已开发出一系列技术,试图对抗反病毒软件的活动,其中包括:

  • 加壳代码和加密
    大多数蠕虫和木马病毒都是加壳和加密的。黑客们还设计出了专门的加壳和加密工具。我们已发现,每一个使用 CryptExe、Exeref、PolyCrypt 及其他一些工具处理过的互联网文件都是恶意的。

    为检测出加壳和加密的蠕虫木马,反病毒程序要么必须添加新的脱壳和解密方法,要么就要为每一个恶意程序的样本添加新的签名。
  • 代码变异
    网络罪犯通过混合木马病毒的代码和“垃圾邮件”指令,试图伪装他们的恶意软件 – 这种情况下,代码会改头换面,但该木马仍保留了它原有的功能。有时,代码变异会实时发生 – 在所有或者说几乎所有情况下,木马都是从受感染的网站下载的。Warezov 邮件蠕虫使用的就是这种技术,并且造成了一些严重的蔓延事件。
  • 隐身技术
    Rootkit 技术 – 通常为木马病毒所用 – 能拦截和替换系统功能,以达到令操作系统和反病毒程序无法发现受感染文件的目的。有时,它们甚至会隐藏木马进行注册的注册表分支以及其他系统文件。HacDef 后门木马就是使用这类技术的恶意代码的示例之一。
  • 阻止反病毒程序和反病毒数据库更新
    许多木马病毒和网络蠕虫会在受害者计算机的活动应用程序列表中积极搜索反病毒程序。之后,恶意软件会试图:
    • 阻止反病毒软件
    • 损坏反病毒数据库
    • 阻止反病毒软件更新进程的正常进行

为战胜恶意软件,反病毒程序必须通过控制自身数据库的完整性,并针对木马隐藏其进程,来为自己建立防线。

  • 在网站中屏蔽代码
    反病毒公司将能快速得知包含木马病毒文件的网站地址 – 然后,他们的病毒分析人员便能研究这些网站的内容,并将新的恶意软件添加到他们的数据库。然而,为试图对抗反病毒扫描,网页可能会受到篡改 – 这样,当反病毒公司发出请求时,下载的将会是一个非木马文件,而不是木马。

“海量”攻击

在海量攻击中,大量新的木马版本会在很短时间内散布到互联网中。这样,反病毒公司就会收到数量极多的新样本待其分析。网络罪犯希望这些花在大量样本分析上的时间会给他们的恶意代码提供入侵用户计算机的机会。

与恶意软件和反病毒解决方案相关的其他文章和链接