问:我了解到区域性银行木马不太可能被反恶意软件程序发现。这是为什么呢? 答:区域性恶意软件利用传统基于签名的反恶意软件的一个主要局限。这些银行木马或定制的恶意软件只利用了这种局限的一种形式。该局限是必须分析恶意软件,必须创建签名来发现恶意软件。
定制的恶意软件是最难被发现的,因为该恶意软件的签名总是在不断改变,并以特定的区域或银行为攻击目标,或者因为恶意软件所感染的网站太少没有报告给反恶意软件厂商。如果恶意软件是模块的话,以新的银行为目标基本上不需改变该恶意软件,但是如果出现一种新的攻击或对恶意软件进行重大的改变,这将会影响它被基于签名的反病毒软件发现的难度。 发现新的、定制的、有特定目……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我了解到区域性银行木马不太可能被反恶意软件程序发现。这是为什么呢?
答:区域性恶意软件利用传统基于签名的反恶意软件的一个主要局限。这些银行木马或定制的恶意软件只利用了这种局限的一种形式。该局限是必须分析恶意软件,必须创建签名来发现恶意软件。定制的恶意软件是最难被发现的,因为该恶意软件的签名总是在不断改变,并以特定的区域或银行为攻击目标,或者因为恶意软件所感染的网站太少没有报告给反恶意软件厂商。如果恶意软件是模块的话,以新的银行为目标基本上不需改变该恶意软件,但是如果出现一种新的攻击或对恶意软件进行重大的改变,这将会影响它被基于签名的反病毒软件发现的难度。
发现新的、定制的、有特定目标的恶意软件的局限也可能得到改善,因为反恶意软件现在包含的行为检测功能越来越多。反恶意软件早就有启发式(探索)功能,但是目前在行为检测方面的发展,是对启发式(探索)发现功能的一个重要改善。行为检测比传统的基于签名的检测更通用,因为反恶意软件可以发现恶意的行为——如访问保存密码的程序,或发送密码到外部网络的程序——并且可以拦截它,或在恶意文件被恶意软件利用来访问密码时发现它,并隔离它。