火绒安全:2015中国大陆地区PC互联网安全报告
|
图3.1是火绒安全情报分析系统基于火绒3.0测试阶段产生的数据抽样。火绒在23271台终端识别到249款软件的53965次安装行为。图3.2中,我们仅以其中识别到次数最多的国内某知名安全软件为例,图中左侧的“发起者进程”表示安装动作的发起者进程,“阻止总数”和“阻止比例”表示当火绒识别到该软件的安装行为后提示用户,用户选择阻止的次数及比例。从左侧的发起者进程名便可以得知,火绒识别到的该软件80%以上的安装行为并非出自用户意愿,而平均高达80%的阻止比例也从侧面反映了用户的意愿。  图3.1、火绒3.0测试阶段产生的数据抽样  图3.2、某知名安全软件安装行为统计 “病毒式”推广 通过火绒软件安装拦截日志,我们发现5%的商业软件推广行为是标准的病毒行为——从传统对电脑病毒的定义来说,例如注入系统进程、创建系统程序的傀儡进程等方式欺骗安全软件的拦截。下面几幅截图截取自火绒安全情报分析系统。其中“安装包路径”和“安装命令行”指的是被推广安装软件的路径信息,“访问进程”和“访问进程命令行”指代推广者进程的信息,“父进程命令行”则是推广者进程的父进程信息。 案例一:
从图3.3的拦截信息可以看出系统服务进程svchost(命令行svchost.exe –k LocalServices)试图推广安装yz_zg.exe程序,火绒识别到此安装程序为某游戏盒子软件安装程序。从拦截信息基本可以认定,这个安装推广行为是其他程序通过类似病毒技术注入到系统进程中实现的。  图3.3、某游戏盒子通过注入系统进程静默推广安装 从图2.4可以看出,EDGMettinghlights.exe启动了svchost.exe,并使用病毒常用的傀儡进程技术,将svchost.exe替换为推广安装代码,并进而推广安装gamecqss_1273.exe,火绒识别到此安装程序为某游戏软件安装程序。  图3.4、某游戏通过傀儡进程静默推广安装 案例二: (编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
