正在阅读：金山2010木马发展趋势报告之绑架型木马金山2010木马发展趋势报告之绑架型木马

　　基于绑架型木马防不胜防、破坏性强、难以彻底删除等特点，传统的杀毒技术在对绑架型木马文件进行查杀后，经常会出现各种各样的系统异常，而与之相关的应用程序也无法正常运行，甚至出现系统崩溃。

　　传统的杀毒技术在绑架型木马面前显得力不从心。金山安全中心结合绑架型木马的特点，经过近半年的研发与测试，最新推出的金山毒霸SP3版本，正式启动了“三引擎”查杀技术：可信云查杀引擎、蓝芯II本地引擎、系统修复引擎，有效帮助用户修复了绑架型木马被删除后的各种“后遗症”。

　　传统的杀毒软件通常使用单一杀毒引擎，近年来，也出现了双引擎的杀毒软件，而金山毒霸SP3版本特别结合了木马发展趋势的变化，增加了系统修复引擎。

　　可信云查杀引擎

　　金山毒霸2011引入可信云查杀超前理念，将用户端和云端海量样本库完美融合，安装程序仅为20MB左右，内存占用约19MB，体积虽轻巧，查杀准确度却更高，对新病毒的响应在秒级完成，为用户电脑安全提供更有效的保护。

　　蓝芯II本地引擎

　　金山毒霸2011采用新一代蓝芯II本地引擎，不但对未知病毒的识别能力极高，扫描病毒的速度也得到大大提升，非首次扫描速度可达1000个文件/秒。更为难得的是，金山毒霸2011对系统资源占用极低，即便进行杀毒，同时操作电脑也不会“卡”。

　　系统修复引擎

　　针对越来越多替换系统文件，修改系统配置的病毒，金山毒霸特别加入系统修复引擎，在一次快速查杀完成木马程序文件清除的同时，将木马破坏的系统文件、系统注册表配置等等成功修复。用户无需重装即可恢复系统到正常状态，省去因重装造成数据丢失的麻烦。

　　绑架型木马最喜欢攻击的系统应用

　　1、输入法

　　病毒木马伪装成输入法组件，或者感染输入法组件，病毒并不在开机后立即运行，而是在用户切换输入法时调用，非常巧妙的避开了安全软件对敏感加载点的防御。

　　2、篡改桌面图标

　　很多人并没有留意桌面快捷方式图标也是病毒木马藏身之处，被篡改后的图标看上去只会有一点点异常，因为并不以文件的方式存在，用户删除不掉的情况下，甚至逐渐接受了这些奇怪的快捷方式。

　　3、DirectX组件

　　这是游戏软件运行时，必须依赖的公共组件。病毒并不一开机就加载，而是当玩家玩儿游戏时才运行，一旦杀毒软件删除了病毒文件，但是玩家却发现游戏玩儿不了了，而用户会认为是杀毒软件的问题。

　　4、聊天工具QQ相关的依赖组件

　　许多人买电脑后第一个要安装的软件就是QQ，而破坏性木马直接改写QQ相关的组件，比如QQ，QQ游戏等组件。这样，木马在QQ的相关程序运行时才启动，也是很巧妙的招数。简单删除这些破坏性木马，用户就会出现QQ游戏进不去，QQ餐厅进不去。

　　5、浏览器相关组件

　　破坏性木马会伪装成IE插件，或者感染IE浏览器运行所依赖的组件，简单删除后，会导致IE内核的浏览器均出现异常。

　　6、VB，VC运行库，.net运行库

　　大量应用软件依赖这些组件，而且每台windows主机里都有这些组件。经常看到有用户询问mfc71.dll、msvcr71.dll找不到之类的问题。

　　7、编写一些vbs脚本，调用病毒dll

　　中毒后的电脑经常会出现rundll加载出错，runtime error之类的消息。

　　8、破坏flash相关组件

　　破坏性木马损坏flash相关组件之后，会影响网民观看在线视频，QQ农场、牧场不能登录等等。

　　9、伪装成桌面主题或桌面小工具之类的软件欺骗安装

　　表面上提供微不足道的小功能，实际上干着木马盗号的勾当。简单删除会导致桌面显示异常。

　　10、电子商务服务

　　经常在桌面生成一些电子商务网站有关的快捷方式，欺骗网民浏览“淘宝客”之类的网站。一不留神就可能掉进钓鱼网站的陷阱。

　　最常被绑架型木马利用的十大软件

　　通过对绑架型木马行为的跟踪研究，以及对感染此类木马的用户反馈结果的统计分析，集合软件自身的占有率，列举出了十款最常被绑架型木马利用的软件。

　　浏览器

　　输入法

　　360相关软件

　　下载工具

　　QQ相关软件

　　FLASH（网页小游戏、视频网站）

　　压缩软件（winrar\好压）

　　播放器相关软件

　　9、DNF

　　10、WOW