Created: 2008-08-08 16:13:41
ESET 網絡安全威脅資訊
隱藏技術與系統漏洞
多年來,防毒軟件開發商和業界研發者一直協力與惡意程式編程者進行無了期的對抗。長期的鬥爭中,惡意程式編程者的目的由純粹娛樂演變成金錢利益,亦直接使這場抗爭一直延續下去。惡意程式編程者不斷嘗試寫出可以逃過防毒軟件偵測的程式。另一邊廂,防毒軟件製造商亦毫不間斷地研究出全新的解決方案,使防毒軟件能更有效地提供最佳的偵測能力。
惡意程式編程者可以利用不同的技術去製造出能逃避防毒軟件追蹤的惡意程式。 例如:其中一種類的惡意程式便可以在傳染或執行時,修改自身的代碼來使防毒軟件偵測失效。而事實上,在1990年,多重形態病毒(polymorphic virus)的出現,使業界出現翻天覆地的變化,一些無法適應時代轉變的防毒廠商只能退出。
另一個隱藏病毒的經典方法,是使用隱藏技術逃避防毒軟件的追蹤並徹底抺去所有感染檔的證據和紀錄:我們一般簡稱這方法為進階或第三層級的隱藏技術(advanced or level 3 stealth)。而目前最常使用這種隱藏技術來掩飾自己存在的病毒,就是我們常指的Rootkit。
(https://download1.eset.hk/softdown/manual/Whitepaper-Rootkit_Root_Of_All_Evil.pdf)惡意程式偶爾會利用安全防護軟件的漏洞,特別是一些編程錯誤而引致的系統漏洞或弱點,緩衝上限便是其中之一。但使用者亦不用過於擔心,因為當你從媒體或業界意識到這些問題時,這些漏洞大多已被堵住。所以我們相信惡意程式編程者不會花大量時間盲目地去尋找這些可能根本從未存在的漏洞或弱點。
除此之外,愈來愈多更具侵略性的惡意程式陸續出現,它們會嘗試關閉或停用安全防護軟件,當中包括個人防火牆和防毒軟件。我們發現這個問題十多年之久。最早可以追溯到1990年,一些惡意程式開始嘗試干擾防毒軟件的運作。而事實上,亦因為防毒軟件只是作業系統上的其中一個處理程序,一些普通的應用程式確實有可能會影響到防毒軟件的運作(甚至停用)但肯定的是,這並不是一個需要修復的BUG,而是大多數作業系統包括了的正常功能。(有許多作業系統可以執行更嚴格的系統控制,但通常不是單單在桌面上按一個鍵就能使用)例如,手提電腦中就必會有一個程式管理電源,以確保系統所有的處理程序在休眠狀態下都停止運作。
長久以來,許多惡意程式曾經嘗試停止ESET 防毒軟件 (和其他一些知名的防毒軟件) 的運作。在某些特殊的情況下,它們是有可能會成功的。ESET會經常成為被惡意程式攻擊的對象,其實並不出奇。有新病毒能夠逃過ESET啟發式偵測,其實同時間都能夠逃過大部份其他防毒軟件的偵測。我們好清楚知道這個問題的嚴重性,並努力執行不同的防護機制去減低問題發生的可能性。
我們會盡我們的能力,幫助使用者減低中毒的風險,但同時間,防毒使用者亦能通過以下一些簡單的措施。減低防毒掃描器被惡意程式停用或關閉的風險:
- 經常更新電腦的安全防護軟件
- 非必要時,只使用一般使用者身份登入電腦,避免使用管理員身份登入電腦(如Window系統的Administrator和Unix系統的Root身份)因為當防毒軟件擁有更高的權限優先執行時,執行權限較低的惡意程式是無法關閉防毒程式的。(假設權限沒有被篡改)
- 為操作系統和所有應用程式安裝最新的修正檔和更新
- 避免到訪有危險的網站
(大家都知道這點知易行難:竅訣只在於不要開啟不熟識的連結或網站) - 設定瀏覽器到最佳安全性
- 不要執行來歷不明或不知名的檔案或程式
無論惡意程式的代碼多精密,如果不能執行,仍是沒有可能對電腦進行破壞的。 但請不要誤解以為這個世界會有十全十美,能百份百保護你電腦的安全防護軟件,當你嘗試執行一些不可靠或不知名的程式時,風險是仍然存在的。就算軟件多先進,亦沒有可能完美地偵測到全部所有的新病毒或惡意程式。所以千祺不要執行任何來歷不明或不知名的程式。
ESET研發小組