搜索 收起
您的位置  > 互联网

618购物节临近剁手党收到200元“红包”

chanong 发布于 2024-01-27 09:07:28 阅读()

随着618购物节的临近,购物者可能会收到200元的“红包”,并提醒您可以使用红包来抵扣您心仪已久的手机的购买价格。

在《太阳的后裔》中,一头雾水的粉丝可能会搜索网盘链接,希望能够下载所有早期剧集。

当你急切地打开一扇互联网世界的大门时,你看到的很可能是伪装的特洛伊木马。

特洛伊木马是世界上变异最快的物种之一。 黑色或灰色产业的经济链驱使这些“毒虫”日夜不眠地进化。

这些特洛伊木马是如何潜伏在我们生活的街角,又是如何突然从我们大腿上咬下一块肉的呢? 对此,腾讯电脑管家安全专家刘贵泽很有发言权。 因为他掌舵的“哈勃平台”专门为电脑管家提供杀毒引擎,查杀木马是他们的专长。

刘贵泽 腾讯电脑管家平台负责人

《甄嬛传》和《太阳的后裔》都可以传播木马

刘桂泽告诉雷锋网,紧抓热点事件其实并不是什么新现象。 对于努力获取利润的木马作者来说,捕捉时下热点话题是他们的“基本功”。 只要你用你的渴望或恐惧成功下载了木马,第一步就完成了。

无论是双11、双12还是618,凡是引起全国关注的购物嘉年华活动,几乎总会有鬼怪前来“挖金”。 这种活动不仅涉及人数较多,而且在这种情况下也很容易让用户放松警惕。

此外,高考、过年等固定的社会事件对于特定用户来说也是一年一度的“灾难”。 当然,现在的热播剧——比如《甄嬛传》和今天的《太阳的后裔》——也可能成为陷阱。 急切想知道剧情发展的粉丝往往会失去双眼,毫无悔意地下载一堆恶意软件。

下载《太阳的后裔》后,桌面上出现奇怪的网页快捷方式/图片由哈勃平台提供

总之,只要涉及的人多,就会有各种各样的特洛伊木马及其背后的陷阱。

故事的开头总是相似的,无辜的孩子因为各种原因下载木马。 而接下来,他们将亲眼目睹各种“残酷”的事情发生在自己身上。

秘密锁勒索

如果你中了密锁勒索木马,那么恭喜你,你已经几乎触碰到了“木马世界的王冠”。 在您不知情的情况下,您计算机上的所有文档和照片都已加密。 当您意识到发生这种情况时,您会看到一个突然弹出的警告框:您的文件已被我们锁定。 您可以通过将 1 比特币转入我的帐户来解锁该文件。 (1比特币大致相当于3000人民币,当然不同种族、不同类型的木马索要的赎金可能不同。)

中文加密木马的勒索界面及勒索信

这种密锁木马从2015年下半年开始流行,一开始我们检测到了一些德文木马,很快就出现了英文版,到了春节,又出现了繁体中文版。 今年上半年,又出现了简体中文密码锁定勒索木马。 你可以明显感受到该类木马的演化节奏。

柳桂泽说道。

据哈勃系统公司统计,勒索木马在高峰时期每天可以感染近万台计算机。 雷锋网曾对发生在我们身边的一起加密勒索木马爆发事件做过详细报道。

诈骗木马

由于用户经常在被欺骗的状态下下载此类木马,为了合理潜伏在你的手机或电脑中,它们往往会提供一些用户期望的“正常功能”——比如观看短片。

然而,此类木马的主要功能实际上是尽可能详细地收集您的个人信息。

以前面提到的“高考成绩查询App”为例。 用户将永远无法成功安装此应用程序,因为提示用户“安装失败”是阴谋的一部分。 用户认为安装失败,自然放松了警惕。 事实上,这个木马已经在后台根深蒂固,默默地搜索你的通讯录和短信,然后找到“父亲、母亲、姐姐”等重要联系信息以及你的银行卡号、家庭住址、生活习惯等。 包含该信息的短信被发送回诈骗者控制的服务器。

高考成绩查询App“安装失败”界面/图片由平台提供

根据这些极其敏感的信息,诈骗者可以针对个人进行诈骗。 一个能告诉你家庭住址、生活爱好、认识你最亲近的亲戚的人,很容易获得你的信任。 诈骗者将使用的下一个伎俩是熟悉的电信诈骗。

广告木马

刘桂泽告诉雷锋网,此类木马是近期最为猖獗的一类,占木马总数的30%至40%,并且还在逐月增加。

此类木马不再从感染者身上赚钱,而是从广告商那里赚取推广费。

这种羊毛出自猪的互联网商业思维的本质已经被黑色产业彻底掌握。 此类木马在PC和移动平台上也十分猖獗。 在手机上,它们通常会将自己伪装成用户需要的软件,但在使用过程中,它们会偷偷接受远程控制,并默默地为用户安装很多其他应用程序。

这些应用程序很可能不是恶意的,而只是有推广需求的应用程序。 他们希望通过各种渠道宣传自己。 最终,这个任务的一部分落到了灰色行业的木马身上。 这种木马推广与地面推送是一样的。

刘桂泽告诉雷锋网,哈勃平台前不久刚刚发出警告,查杀了一个爆炸性广告木马。 他的朋友将这个木马命名为“ Rat”。

“我觉得我们选的这个名字很形象,影子代表着难以捉摸,老鼠见不到光。这个木马的作用很简单,就是把你电脑上所有浏览器的导航页广告频道改成他的。”用户感觉不到导航界面有任何变化,也没有通过导航访问的网站,但实际上,其背后的访问渠道发生了变化,这样,网站推广费用就会流向木马用户里面。

该木马于5月23日被系统捕获,我们立即研究并发布了查杀规则。 此时全网的样本数量只有10万个。 由于规则生效需要一定时间,到第二天凌晨全网爆发数量就飙升至40万。 直到电脑管理员开始大规模扫描,“疫情”才得到控制。

以上三类木马无疑构成了本月最猖獗的前三名。 刘贵泽表示,一年来,违法产品“更接近金钱”的现象已经显而易见。 以往盗号木马盗取QQ号码和密码后,如果QQ本身没有携带Q币等虚拟财产,那么就需要使用“撞号”等方法,比如尝试登录使用相同的帐户和密码发送到电子邮件或淘宝。 ,京东终于可以“赚钱”了。

现在看来,木马的“老大”——这些黑帽黑客仍然觉得传统的方法不太准确,浪费时间,所以转而探索“独特的新发展路径”。

木马也能用兵法

查杀病毒、木马,实际上是与其背后从事黑色产业的人的竞争。 这是一场永无休止的“不断对抗”。 他们不断创新他们的“犯罪手法”,我们也不断破译他们的“竞技手段”。

刘贵泽和他的团队发现,不同种族、不同流派的木马最近“训练”了两种非常特殊的“动作”。

隐身

让自己活得更长久,才是特洛伊人的追求。 即使你可以在电脑或手机上呆上半天甚至半个小时,你也可以盗取更多的用户信息,更多地宣传你的“小伙伴”。 您还可以与防病毒软件进行更长时间的竞争,而无需立即投入精力研究新变种来对抗您周围的防病毒软件。

由于系统主要利用机器规则自动识别病毒和木马,因此每天都会筛查大量的文件样本。 然而,哈勃团队发现了一个有趣的现象。 即:有一些程序没有功能,在虚拟运行环境中不执行任何操作。

拜托,你是一个软件。 为什么安装运行后什么也不做? 即使您访问网页。 。 。

研究员的心都碎了。 真有人无聊到会写一个什么都不做的程序吗? 敏锐的嗅觉告诉他们,这里面一定有猫腻。

果然,经过仔细研究,他们发现这类木马运行后,第一个动作就是“沉默”。

“沉默时间从几分钟到几十分钟不等,最长的木马沉默了一个小时。” 刘贵泽表示,“为了提高效率,检测平台会在60分钟内不检测同一个文件。默认设置一般是秒。如果改用传统的人工审核代码方式,至少需要十几分钟才能检测到。” ”

然而,研究人员已经提出了一套简单的规则来应对这种棘手的木马。 也就是说,当哈勃系统在检测时遇到可能的“静默程序”时,会主动跳过静默代码段,直接执行真正的命令操作。

当然,“沉默”并不是隐形的唯一技巧。 还有一种传统的隐身方法:像寄生虫一样将自己隐藏在文件中,最近又开始“重新出现”。 这是一个宏病毒。

安全博弈流程是这样的。 如果“黑社会”想到办法,安全厂商就会继续封锁。 如果这样循环下去,“黑社会”可能会突然发现原来的方法又有用了。 当然,它并不是这种方法的简单重复,而是叠加了更新技术的“升级版”。

由于文档有时需要显示动画效果或进行动态数据统计,因此Word或PPT等文档实际上是允许其中存在可执行代码的。 不过,由于过去宏病毒的问题,微软在新版本中会默认禁用宏。 然而,无底线、无道德的黑帽黑客却将钓鱼邮件和隐私盗窃叠加在一起。 他们所做的是:

直接获取您的专业和个人信息。 然后向您发送一封有针对性的、足够令人信服、真实的工作电子邮件——比如报销发票信息、行业协会通知、客户订单——让您没有理由不打开附件。 在邮件中,“客户”还会“热情提醒”您,我的附件中有报价单。 当Excel提示您是否需要启用宏时,一定要点击同意~~

雷锋网表示,世界上最珍贵的信任似乎被撕裂了。 。 。

云控制

正如自动巡航、停车位、倒车雷达逐渐成为汽车的标配一样,“云控制”也开始成为木马的标配。 作为木马,如果不能实现云控制,出门在外就不好意思跟人打招呼了。

刘贵泽表示,“灵活、快速”是云控的最大优势。 它可以让木马与黑客的服务器保持实时联系,并根据具体情况做出最准确的响应:如果发现您的机器安装了XP,则会立即发出。 一套XP的“战斗策略”; 如果是7,则下发《Win7实战方案》; 如果是手机的话也可以。

而且,通过云控制,黑客甚至可以控制木马的生命周期。 例如,木马在受害者计算机上存在一天后,就会被强制升级到最新版本2.0。

该木马家族的更新速度超乎常人的想象,最快10分钟就会更新一个版本。 所谓更新,就是对代码结构、加密格式、侵权行为顺序等进行调整。 为了达到如此快的更新速度,黑客可能一次性创建了很多木马,然后按照节奏发布。 他们还可能开发了一套自动化工具来转换木马代码。

神与魔之间的战斗

对于这种不确定的木马形态,安全专家只能围绕木马最根本的特征——“行为”来进行搜索。 为了尽快检测到最新的木马,检测系统必须全天候、24/7运行。

对于刘贵泽和哈勃团队来说,他们的任务不是手动判断一个程序是否是木马,而是利用自己的经验和理解来创建识别木马的规则,然后让哈勃系统学习这套规则。 规则的不断积累可以让系统判断木马的准确度不断接近这些安全专家的准确度。

刘贵泽列举了几个简单的判定规则:

1、如果有一个软件出来,对电脑进行全盘扫描,不仅读取还写入如此大量的文件,这就是明显的勒索木马行为。 因为普通软件几乎不需要执行全盘扫描。

2、软件运行后连接互联网。 这个动作可以理解,但如果它每次连接互联网时都请求一些控制信息,而这些控制信息与软件本身无关,那么这是一个非常可疑的推广木马。 例如,QQ在后台连接互联网时,必须下载与自身相关的信息,例如更新包等。 然而,木马推广请求通常是一大堆软件加上下载地址。 这个特点是非常明显的。

3、从移动端来看,正常App运行后,一旦用户点击Home键,就应该进入静音状态。 最多可以将用户数据偷偷上报到互联网上,用于统计目的。 如果某个App在后台进行大量频繁操作,例如读取隐私信息、通讯录等,甚至可能会向系统申请监听短信的权限(该权限一般用于提升用户体验的功能,例如如“注册码自动填充”)。 那么这个App的行为就非常可疑了。

4、前面提到的“影子鼠”木马在安装后会立即扫描用户安装了哪些浏览器,同时也会扫描用户安装了哪些杀毒软件。 这种行为也是非常可疑的。

听起来这样的规则非常明确,白纸黑字地做出判断。 但刘贵泽表示,训练机器最大的难点在于“控制程度”。

机器的特点是“一是一,二是二”,而人类最大的特点是“一不是一,二不是二”。 比如,张三找我帮忙做某事,我就会做,但李四找我帮忙,我就不会做。 例如,一个拥有大量用户的程序深受用户喜爱,但它会修改用户的注册表。 在这种情况下,我们别无选择,只能允许; 如果某些小软件修改了用户的注册表,我们就可能将其识别为木马程序。

刘贵泽面临的困难也是机器与人类之间的能力差距。 然而,经过海量样本的广泛训练,哈勃系统仍在朝着变得更聪明、更“像人类”的方向发展。 这让柳桂泽非常欣慰。

哈勃系统每天测试数千万个样本文件,但最终留给我们研究人员的高度模糊的文件仍然不足千个。 当然,我们的目标不是对这千个文件进行分类。 相反,我们研究这些文件的特征并制定新的规则,以便更新的系统可以有效地判断这些文件。 现在,每天会生成 1,800 个模糊文件。 也许到明年这个时候,每天只会生成十、八个模糊文件。

事实上,对于哈勃来说,研究人员在改进规则方面已经相当有效。以前团队有五条规则

开发专家、十名样品分析专家; 但现在样本分析专家只有两名,其余专家都致力于规则的研究和制定。

只要有盈利的空间和好人,恶意木马似乎就没有消失的可能。 在刘桂泽眼中,往往当他们弄清楚一个木马家族后,另一个木马家族就会爆发。 安全专家和木马作者已经成为这场永无休止的战争中的两支常备军。

既然人性中的邪恶思想无法根除,我们不妨期待这样的神魔之战中更精彩的战斗。

家客『』

雷锋网旗下行业举报公众号。

聚焦前沿技术领域,讲述黑客背后的故事。

标签:
打赏 点赞( )

相关文章