谁是网页木马克星——4款网页木马拦截工具大比武

评测与体验

2007年9月3日 第35期

随着安全技术的发展,黑客都十分清楚,现在利用网页木马进行肉鸡捕捉是最好的方法,这也造成了网页木马在网络中泛滥成灾,给电脑用户造成了很大的威胁。有矛就有盾,各种网页木马拦截工具应运而生,这些工具不但可以对已知的网页木马进行拦截,还可以对很多未知的网页木马进行拦截。那么这些程序在面对网页木马时的真实表现如何?今天我们就让这些网页木马拦截工具在网页木马前过招,看看谁才是真正的网页木马克星。

为何能拦截未知网页木马

有一句话说得很好:“病毒库的更新永远比病毒更新慢。”很多人装了杀毒软件也中了病毒就是这个原因。那么,这些网页木马拦截工具号称能够拦截未知的网页木马,凭什么这么说,它的原理是什么呢?

我们首先从网页木马的工作原理说起。网页木马并不是一种全新的木马类型,而只是一种全新的木马伪装和传播方式。黑客将木马程序转化为图片、脚本、视频等网页可以识别的文件形式,当网友访问这个网页木马后,如果系统存在该木马利用的漏洞,那么就会激活网页木马运行。接着网页木马通过脚本代码自动下载黑客设置的木马程序并运行,最终让黑客捕获大量肉鸡。

而网页木马拦截工具的工作原理,就是在“木马下载后运行”这一环节进行拦截的。当有文件准备在后台运行的时候,拦截工具就会进行拦截并提示用户。因为它根本不会核对这是否网页木马,只要网页有类似可疑操作,就进行拦截,并通知用户。这也是为何它们能够防范未知网页木马的原因。

热门网页拦截工具

我们特意选择了金山清理专家、IE卫士、瑞星卡卡、网页木马拦截器这4款当前比较有人气的网页木马拦截工具。其中金山清理专家、瑞星卡卡都是由专业安全公司推出的安全工具,而IE卫士和网页木马拦截器则是专业的网页木马拦截器。

金山清理专家

金山清理专家是金山毒霸推出的一款安全工具,在最新版本中新增加了一个网页木马拦截功能。成功安装清理专家后点击工具栏中的“网页防挂马”功能,由于该功能是利用插件的形式来操作的,因此首先要点击“安装并开启”按钮来激活(图1)。

35-f7-02.jpg
图1

目前该功能支持的浏览器包括IE浏览器,虽然程序声称可以支持Maxthon,但是在实际测试中并不支持Maxthon。

IE卫士

IE卫士是一款插件形式的网页木马拦截工具。双击IE卫士安装程序后,程序会自动安装到C:\Pro gram Files\IEKavass目录下,接着自动注册浏览器BHO到IE浏览器和Maxthon浏览器中(图2)。

35-f7-03.jpg
图2

由于Windows 2003系统在默认设置时不能自动加载BHO,要点击IE浏览器菜单下的“Internet选项”,在“高级”标签中选择“启用第三方浏览器扩展”选项,然后再进行插件的安装运行即可。

瑞星卡卡

瑞星卡卡是瑞星公司推出的一款反流氓软件,独创“IE防漏墙”功能模块,可以在流氓软件、木马、病毒等试图通过IE漏洞入侵计算机的时候进行阻止。当瑞星卡卡成功在系统安装以后,“IE防漏墙”功能模块就会自动激活(图3)。该功能目前只支持IE浏览,除此之外,包括Maxthon在内的浏览器都不支持。

35-f7-04.jpg
图3

网页木马拦截器

网页木马拦截器这款全新的安全工具,无论是网页木马还是捆绑文件,都可以进行快速而有效的拦截。由于网页木马拦截器是一款绿色程序,因此当我们运行它以后只要点击“开始拦截”按钮,就能够成功启动程序的拦截功能,并且能最小化隐藏到系统任务栏(图4)。该功能支持包括IE浏览器、Maxthon在内的所有使用IE浏览器内核的浏览器。

35-f7-05.jpg
图4

与网页木马现场过招

要测试这些网页木马拦截器是否真有用,就必须使用网页木马来进行测试才行。今天我们测试使用的网页木马,分别利用MS-06014漏洞、MS-06014变种、ANI漏洞以及最新的PPStream溢出漏洞创建,可以说是一种涵盖了老、中、新三代网页木马的典型。

金山清理专家简单易用

当我们使用IE浏览器访问这些网页木马后,金山清理专家会在系统桌面的右下角弹出一个窗口,提示用户浏览器在后台下载了一个新文件,已经阻止了该程序的运行(图5)。

35-f7-06.jpg
图5

点击窗口中的“查看详情”按钮,可以了解更多的信息。当清理专家在面对这4个不同的网页木马的时候(其中包括一个MS-06014网页木马的变种),都能成功地进行提示并拦截。由此证明金山清理专家的拦截能力还是非常突出的。但是金山清理专家有一个明显的缺陷,就是不能让用户自己对下载可疑文件进行选择运行或阻止的操作。

IE卫士功能简单而实用

当我们访问这些漏洞的网页木马后,很快IE卫士就弹出一个提示窗口(图6),告知用户“浏览器试图创建进程,这是网页木马的典型行为,如果你感到意外,敬请拦截!”同时会在程序路径选项中显示可疑程序的路径。

35-f7-07.jpg
图6

我们只要点击“拦截(推荐)”按钮,就可以成功阻止该网页木马的操作。如果能肯定该文件的合法性,则可选择“将此程序添加到信任区,以后不再提示”选项,并且点击“允许按钮”即可。通过对这些网页木马的测试,发现IE卫士可以很好地拦截所有的网页木马。

瑞星卡卡防漏不足

当我们访问网页木马后,瑞星卡卡的“IE防漏墙”功能,也会弹出一个相应的提示窗口。提醒用户浏览器试图运行下面的程序,并且提示用户一些恶意程序的伪装方式。点击“阻止”按钮就可以阻止文件的运行,而点击“允许”就会运行该文件(图7)。

35-f7-08.jpg
图7

对于普通生成的网页木马,IE防漏墙都可以成功拦截。可是当我们浏览网页木马的变种时,该网页木马却成功运行,这说明IE防漏墙并没有防止住这个木马。

为何不能够发现变种的网页木马?我们对此进行了分析。直接运行木马程序mm.exe,瑞星卡卡会警告,但若运行command mm.exe就可以成功运行木马,但是瑞星卡卡却没有出现任何的警告信息。

从技术角度分析是因为瑞星卡卡拦截的是CreateProcess之类的函数,并且它会放过经过认证的程序(诸如command等),事实证明这是相当危险的设置。而其他程序拦截的却是比它更底层的NTCreateProcess之类的函数,而且不会放过任何一个新进程的创建,从目前来看木马要想绕过NTCreateProcess创建进程是不大可能的。

网页木马拦截器操作要求较高

现在我们测试网页木马拦截器,当浏览器遇到网页木马的时候,程序将自动弹出操作界面。这时我们就可以在“进程”标签中发现一个带问号的进程(图8)。

35-f7-09.jpg
图8

从状态栏里可以看出该进程“正在启动”,说明在正在启动时就被拦截了,这时用户可以根据自己的经验来判断该进程的合法性。

当用户判断出进程的合法性以后,就可以通过右键菜单中的命令来操作。如果这个进程是安全的,那么点击“信任进程”按钮就表示允许程序执行,反之点击“结束进程”按钮就表示禁止该进程运行。

如果不想以后对同一个进程再进行判断的话,那么可以通过右键菜单将它添加到白名单或黑名单中。如果被添加到黑名单中,那么以后该进程运行的时候,将被程序自动进行拦截并记录。

总结

现在各种各样的网页木马层出不穷,因此一款性能良好的网页木马拦截工具可以极大地提高系统的安全系数。同时,因为它们自身不需要病毒库,可防范未知网页木马等特性,以后必将成为系统安全防范体系中的重要一员。

经过我们的测试,我们认为除了瑞星卡卡不能够防范已经变种的网页木马外,其他的3款软件都能够有效地防范网页木马。其中金山清理专家、IE卫士、瑞星卡卡,都是将保护插件插入到浏览器进程中,因此在运行浏览器的时候就会自动加载进行保护,这对普通用户是相当有用的,而网页木马拦截器需要用户专门运行才可以进行保护,在方便程度上要略逊一筹。

在兼容性方面,如果用户只使用IE浏览器的话,选择清理专家和IE卫士都非常不错。如果使用其他浏览器的话,那么网页木马拦截器则是必然的选择。

此外由于三款拦截器都是插入到浏览器进程的,所以不会被黑客程序终止或卸载。而网页木马拦截器由于存在自己的进程,则可能会被恶意脚本终止而失去作用。

在操作难度上,网页木马拦截器需要用户能够自己判断进程,这要求用户具有一定的电脑安全基础知识才行,所以并不太适合初级用户。金山清理专家和IE卫士的操作方法都是相当简单的,并且效果不错,它们是初级用户的不二选择。

特别声明,金山清理专家和瑞星卡卡只是进行了网页木马拦截功能的测试,该测试并不是对这两款程序的综合测试。