区域性银行木马可以逃避基于签名的防病毒软件吗?

日期: 2010-12-21 作者:Nick Lewis 来源:TechTarget中国 英文

问:我了解到区域性银行木马不太可能被反恶意软件程序发现。这是为什么呢?   答:区域性恶意软件利用传统基于签名的反恶意软件的一个主要局限。这些银行木马或定制的恶意软件只利用了这种局限的一种形式。该局限是必须分析恶意软件,必须创建签名来发现恶意软件。

定制的恶意软件是最难被发现的,因为该恶意软件的签名总是在不断改变,并以特定的区域或银行为攻击目标,或者因为恶意软件所感染的网站太少没有报告给反恶意软件厂商。如果恶意软件是模块的话,以新的银行为目标基本上不需改变该恶意软件,但是如果出现一种新的攻击或对恶意软件进行重大的改变,这将会影响它被基于签名的反病毒软件发现的难度。   发现新的、定制的、有特定目……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:我了解到区域性银行木马不太可能被反恶意软件程序发现。这是为什么呢?

  答:区域性恶意软件利用传统基于签名的反恶意软件的一个主要局限。这些银行木马或定制的恶意软件只利用了这种局限的一种形式。该局限是必须分析恶意软件,必须创建签名来发现恶意软件。定制的恶意软件是最难被发现的,因为该恶意软件的签名总是在不断改变,并以特定的区域或银行为攻击目标,或者因为恶意软件所感染的网站太少没有报告给反恶意软件厂商。如果恶意软件是模块的话,以新的银行为目标基本上不需改变该恶意软件,但是如果出现一种新的攻击或对恶意软件进行重大的改变,这将会影响它被基于签名的反病毒软件发现的难度。

  发现新的、定制的、有特定目标的恶意软件的局限也可能得到改善,因为反恶意软件现在包含的行为检测功能越来越多。反恶意软件早就有启发式(探索)功能,但是目前在行为检测方面的发展,是对启发式(探索)发现功能的一个重要改善。行为检测比传统的基于签名的检测更通用,因为反恶意软件可以发现恶意的行为——如访问保存密码的程序,或发送密码到外部网络的程序——并且可以拦截它,或在恶意文件被恶意软件利用来访问密码时发现它,并隔离它。

作者

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。