转自:铁军的杀毒圈子
昨天众多媒体报道瑞星误报google分析站点为恶意网址
相关报道链接:http://security.ccidnet.com/art/1099/20090429/1753569_1.html
挂马集团在运行时,也会和商业网站一样进行浏览分析,会使用google、cnzz、vdoing等页面统计工具分析流量。碰巧,这些统计代码连同恶意网址被一起提交,系统就此作出了错误的判断。
在使用google搜索时,google会对相关链接进行安全性判断,同样是基于这个链接在一段时间(通常是一周)有没有被指控带恶意代码,这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时,这个恶意网址库不会更新的很及时,仍然会阻止用户访问曾经被挂马的网站。
金山安全实验室认为维护这样的恶意网址库代价过高,而攻击者只需要不断变换使用新的URL,就可以用非常低的成本突破恶意网址拦截。尽管网盾也会收集恶意网址,但只需要维护一个非常小的恶意网址库,而不需要把被挂马的网站全部列入。
恶意行为拦截:主要拦截漏洞的shellcode,对缓冲区溢出漏洞攻击有很好的效果。
异常参数检测:分析最流行的约30种web漏洞挂马
恶意脚本拦截:只用了简单的几条特征就能够识别90%的恶意脚本。
google或firefox检测到恶意网址时,会阻止访问,提醒用户离开;瑞星是提醒网页有风险,建议离开;而金山网盾的作法是,正常浏览该页面的内容,自动将有害代码过滤。
网盾已经进入alpha2测试阶段,从各方面的反馈看,拦截的效果令人满意。
网页挂马完全绕过金山网盾的条件为:
新Web漏洞且新域名且新ShellCode且不用Heap Spray且新脚本变形且不能与老漏洞混用