奇虎360安全卫士首度公开追杀My123、CNNIC技术秘诀

恶意软件与反恶意软件阵营的斗争再度升级,日前,CNNIC起诉奇虎公司360安全卫士将其“CNNIC中文上网”列为恶意软件,而奇虎也反诉CNNIC侵犯奇虎名誉权,两者的“口水战”愈演愈烈。
  此前,CNNIC指责“360safe与恶意软件my123有染”,主要质疑点是恶意软件my123采用众多高超技术,而360安全卫士在几个小时内就迅速攻克了my123这个技术高强的恶意软件,响应之快连瑞星、江民等专业杀毒厂商都望尘莫及。
  针对CNNIC的质疑,奇虎首度对外公开追杀my123技术秘诀。

 “驱动级”恶意软件现身
  恶意软件的技术五花八门,且“与时俱进”,不停地与反恶意软件玩着猫捉老鼠的游戏。奇虎360安全卫士中心表示,目前最难对付的是就是采用“驱动技术”的恶意软件,“包括my123、7939.com、CNNIC等恶意软件都采用了类似技术。”
  MY123插件采用了一种名为“system Bus Extend”驱动技术,这种驱动技术优先级很高,连安全模式也会加载,加载成功之后,将生成三个线程附加到system系统核心进程上,获取最高权限。更为骇人听闻的是,即便用户删除了所有文件,my123插件仍然可以通过内存恢复。
  目前比较顽固和狠毒的恶意软件普遍使用“内核级Hook技术”,可Hook住所有公开的或者未公开的内核函数,保护注册表,隐藏、监控或者重启进程,可以有效的保护文件不被查杀。
  而新版的CNNIC中文上网就采用了名为“Fsd Inline Hook”的非公开技术,这种技术具有两大特征:首先,它的隐蔽性非常高,非专业人士很难发现它的存在;其次,它的稳定性差、危险性高。如果用户安装了采用该技术的恶意软件,系统稍有变化可能就导致不兼容,使程序无法运行甚至直接导致系统蓝屏、崩溃。
  360安全中心专家表示,“Fsd Inline Hook”一个非常危险的技术,目前为止,尚无一款商业软件使用这种技术,却广泛被病毒、木马程序使用。恶意软件使用这种技术的主要目的就是达到让用户无法卸载,长期驻留在用户电脑的目的。
  在360安全卫士论坛中,很多安装了“CNNIC中文上网”的用户投诉,电脑经常死机、蓝屏、反复重启,在试图卸载时,CNNIC要求你输入复杂的“验证码”,但当你照实输入后,也无法卸载,或者干脆让你蓝屏。
  采用驱动技术的恶意软件,就好比是街头小混混变成了身穿防弹服,手持冲锋枪的江洋大盗,仗着自己武器好,公然袭警,如果不出动飞虎队等特种部队,警察可能会遭遇全军覆没的境地。
  
“破冰”技术追杀my123、CNNIC
  奇虎360安全中心对网友提交的大量恶意软件样本进行分析,并进行大量的试验后,最终找到了一种解决办法,并将其命名为“破冰(Kill Defence)”技术。
  恶意软件采用各种Hook技术保护自己的文件,过滤或者拦截其他文件的操作,并在关机时自动进行注册以保证恢复。奇虎360安全卫士“破冰(Kill Defence)”技术能将恶意软件的这些操作全部撤销,让系统变得很干净,再去删除这些恶意软件的残留文件。就好比是,飞虎队把江洋大盗的枪支给缴械了,这样就可以手到擒来了。此技术目前可以有效的对付采用驱动保护的恶意软件。目前,奇虎公司推出的“彩信通专杀工具”、“CNNIC中文上网专杀工具”均采用了 “破冰(Kill Defence)”技术。
    “破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因。而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护。
  安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”。“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因。