■本报记者 张 磊
　　金山公司日前发布的《2010木马发展趋势报告》称，2010年以来，绑架型木马增长迅猛，几乎占据了互联网新增木马的主流。无论是木马启动方式，还是对用户电脑系统的破坏性，绑架型木马均超出了传统木马以及感染型木马，而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。
　　据介绍，绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同，绑架型木马通过“绑架”正常的系统文件或某个正常的应用软件实现自启动。运行后，该类木马会通过“绑架”用户的方式，强行修改用户浏览器主页、强迫用户浏览恶意网站等。同时，绑架型木马还可以破坏系统组件，杀毒软件在简单删除木马程序之后，会出现各种各样的系统异常，而与之相关的应用程序也无法正常运行，甚至出现系统崩溃。比如游戏不能运行，提示缺少某个DLL文件，系统莫名出错导致运行很慢等。
　　因为绑架型木马的强大破坏性，一旦用户感染了此类木马，传统的杀毒软件很难彻底清除，即使删除了木马文件，用户的系统也会出现很多“后遗症”。金山安全中心最新统计数据显示，感染了绑架型木马之后，用户电脑集中表现为五大特征：浏览器首页被篡改、桌面恶意图标无法删除、桌面快捷方式被篡改、浏览器收藏夹异常以及部分网页打不开等。
　　鉴于传统的杀毒技术在绑架型木马面前显得力不从心。金山安全中心结合绑架型木马的特点，经过近半年的研发与测试，最新推出的金山毒霸SP3版本，正式启动了“三引擎”查杀技术：可信云查杀引擎、蓝芯II本地引擎、系统修复引擎，有效帮助用户修复了绑架型木马被删除后的各种“后遗症”。
　　据了解，自1986年世界上出现第一个计算机木马至今，20年间，木马已经成为了用户电脑安全的主要威胁，互联网每天新增的木马数量已经近万个。伴随着反木马技术的不断发展，木马制作者为了逃避杀毒软件的追杀，在传播方式、破坏方式等方面也随之不断创新。
　　绑架型木马的出现就是木马制作者寻求新的盈利模式、逃避杀毒软件追杀的必然产物。2008年，黑客发现利用系统漏洞以及应用程序的漏洞在用户不知情的状态下，下载木马运行，从而通过游戏盗号、劫持主页、刷流量等非法手段，从中获得暴利。从2008年开始到2010年，各大安全厂商纷纷推出防挂马技术，木马很难轻易进入用户电脑，因此，网页挂马等传播木马的方式逐步减少。
　　黑客为了继续牟取经济利益，进而转向通过软件捆绑等比较隐蔽的方式运行，同时木马作者非常了解操作系统和应用软件运行时程序之间的相互依存关系，木马开始越来越多的破坏系统文件、应用程序组件或系统配置，所谓绑架型木马开始出现了。绑架型木马最显著的特点就是木马启动运行的方式发生变革，从原来的几个、几十个系统加载点，转变为成千上万种。
　　据分析，绑架型木马已经成为木马制作者牟取经济利益的主要手段。保守估计，绑架型木马产生的经济利益已经超过了10亿元。绑架型木马的盈利模式主要包含以下几种：一是与钓鱼网站勾结；二是锁定浏览器主页；三是帮助某些购物网站进行推广。
　　统计表明，2010年之前，绑架型木马已经出现，但并没有大规模暴发。进入2010年，绑架型木马增长迅猛，仅2010年前9个月即新增绑架型木马943862个，占新增木马的84.2%。