以前在博客里和朋友们讨论过,上网的风险无非三个方面:网页挂马、钓鱼仿冒网站、危险下 载。
前几年,网页挂马危害非常严重,黑客做个网页,因为利用漏洞挂马,点击那个链接后什么也不干,就会中毒。但这种攻击方式已日渐势微。
因为有了金山网盾,有了金山网盾这样可以100%拦截挂马网页的防御工具。挂马,相当于黑客把攻击程序放在网站上做广告,只不过这个广告一般人看不见,黑 客是需要付出广告费(流量成本)的。因为金山网盾的成功防御,黑客这广告费扔出去了,却一个上钩的人都没钓着,赔了,他干不下去了。
钓鱼仿冒网站,能被这东西骗的人不多,没啥技术含量。微软在IE8中用smartscreen来拦截仿冒钓鱼网站,各种浏览器防御工具都收集钓鱼网址,再 用客户端拦截。金山网盾的作法是,服务端自动收集骗子生产的钓鱼网址,用一定算法自动化识别。如果收集的足够及时,数量足够多,骗子得逞的机会就越少。
前两年,导致电脑中病毒木马的渠道构成大致为:网页挂马80%,U盘和移动介质10%,欺诈下载5%。在挂马网页已经被成功防御的情况下,占攻击量80% 的挂马网页只能另谋出路。2010年以来的病毒木马入侵通道构成比已经发生显著变化:欺诈下载88%,U盘移动介质5.5%,网页挂马4%。据金山毒霸安 全实验室的统计,每天用户下载点击约400万次,其中近10%的概率会下载到病毒。
网页欺诈下载明显成为病毒木马入侵的绝对主通道。病毒木马总会谎称自己对网民有用,偷偷捆绑在正常程序或看起来有点儿用的软件中间。它们广泛分布在H色网 站、盗版软件下载网站、网游外挂插件下载站,甚至一段时间看起来很正常的网站,也会在软件下载链接中混入病毒木马下载链接。
如下图所示:
图1 点击网页的广告,结果会下载木马。
对于大多数网民来说,真的无法分清楚哪些链接该点,哪些又不该点。杀毒软件和下载工具用了很多办法来解决这个问题,杀毒软件没完没了地对用户说,“升级、 检查,升级、检查”。下载工具则下完了就调用杀毒软件扫描,再把结果收集到服务器,如果有心的用户关注迅雷的下载任务,会发现有安全或可疑的提示。
但这是不够的,因为这些参考信息的响应都不够及时。首先,传播木马的人在放下载链接时,会自己拿流行的杀毒软件检查一下,不报毒才会传上去。做病毒的总是 第一个知道自己做的病毒杀毒软件查不到的人。
迅雷不能自己检查这些下载链接是不是安全,得等用户将杀毒软件检查的结果传上来才能更新数据库。
还有没有更好的方法来搞定下载安全问题呢?金山毒霸安全实验室再次创新,提出了下载保护的 理念。
金山毒霸安全实验室在建设文件可信云安全系统时,注意到可以将文件云安全系统和网址云安全相结合,服务器爬虫主动寻找文件和链接,当判断文件是病毒木马 时,就同时将这个文件的下载链接判断为黑链接。当用户的电脑要访问黑链接时,金山网盾及时进行报警提醒。网址云安全,就是由服务器自动不断完成黑链接收集 和识别,客户端再阻止这样一个循环。
下面是金山网盾3.6拦截危险下载的一个实例,当用户点击一个已知的病毒木马下载链接时,会弹出明显的提醒,相信在这个对话框出现时,大部分用户会知难而 退。
图2 金山网盾3.6会拦截已知的病毒木马下载动作
金山网盾3.6首创的下载保护功能,支持6个常用浏览器(IE、傲游、搜狗、chrome、firefox、TT),3个下载工具(迅雷、旋风、快车), 使用QQ、MSN聊天工具传输文件时也可快速识别文件是否安全。下载保护依靠网址云安全技术打造具备群防群治特性的下载防护网,最大限度减少病毒木马到达 用户电脑的可能性。
以下是金山网盾3.6拦截提醒框的示例,绿色表示当前下载安全,红色表示下载的程序有病 毒。
结论:金山网盾3.6的下载保护为网民安全上网翻过最后一道坎
整理一下几个要点:
1.为什么要提供下载保护功能
前面提了,下载是2010年对网民危害最严重的病毒木马入侵通道,不得不防。
2.金山网盾3.6的下载保护怎么防
双层过滤:网址云安全+文件云安全协调统一;服务端快速收集鉴定(全自动无人值守、响应时间大约20分钟);支持覆盖网民最广泛的浏览器平台和下载工具。 达到切断病毒木马入侵的主通道的目的。
3.漏网了怎么办?
即使病毒突破金山网盾的防御侥幸到达用户桌面,还要过杀毒软件这一关。金山网盾同时还提供了一键修复清除活木马的功能。