【本文根據毒霸反病毒工程師周末真實生活記錄，如有雷同，絕對抄襲。合作網站如欲轉載，請注明文章作者“禹林”！】

【賽迪網-IT技術報道】周六的早餐，騰飛是坐在自己卡位上吃的，一杯豆漿，兩個菜包子。這是他連續第三周的周末在單位吃早餐。自從2月底磁碟機爆發以來，他和毒霸的其他反病毒工程師們就再沒又清閑過。“快吃快吃，吃完把昨晚的那幾個AUTO木馬樣本給我。”

經過各殺毒軟件廠商近一個月的圍追堵截后，磁碟機病毒事件已經平息下去，虛擬世界恢復了往日的平靜，游戲玩家們又開始投入各網游的激烈戰斗中。但對于毒霸的反病毒工程師們來說，他們卻絲毫不敢放松警惕。

經過對AV終結者、機器狗、磁碟機等一系列“重量級”病毒，以及磁碟機“藏匿”后涌現出的新病毒的分析，騰飛和同事們發現，在磁碟機事件后，國內計算機的開機藍屏、殺毒軟件無法啟動的案例依舊沒有減少，而罪魁禍首是一批具有AUTO傳播功能的下載器程序?？墒谴蟛糠钟脩艉鸵恍┌踩珡S商沉浸在“打敗”磁碟機的喜悅中，僅僅將這些現象作為常規病毒來處理，全然沒有意識到一個不同于磁碟機的“慢性病毒”已接過磁碟機的接力棒。

“真不知道做病毒的人還有完沒完，剛送走磁碟機這么一個瘟神，又來了堆AUTO小鬼。”騰飛搖著頭笑笑。他認為病毒作者之間是有直接聯系的，最近連續的幾個重量級病毒可能是病毒作者們向反病毒行業輪流發起的挑戰，為的是削弱安全軟件廠商們的意志。“下載器一個又一個，我們的時間全耗在上面了，平時回家就很晚，原本還指望著周末能和老婆去灣仔吃海鮮，結果還是得吃食堂。”

“要知足！要知足！食堂免費又好吃！結婚的男人耳朵太軟了！”另外幾個仍打著光棍的反病毒工程師故意嚷嚷著。

騰飛從壓縮包里找出一個病毒，把它丟進OLLYDBG，幾秒鐘后病毒的二進制代碼就全部顯示了出來。“這段時間我們分析了不少病毒，從代碼上就可以很明顯的看出，這些病毒在一些關鍵技術上具有相似之處。”騰飛說。“關閉進程，解除安全軟件的印象劫持，恢復SSDT表，主動防御功能就失效了，好幾個病毒都是這么干。”

半個小時后，騰飛看完代碼，“又是一個下載器，水牛的新變種，有點難對付，清理專家和毒霸搞不定，得做專殺。”他轉過頭，沖著身后一個卡位上喊了聲，“Sakana！和你猜的一樣，有活干啦！我寫完分析報告就交給你。”

Sakana是騰飛的同事，擔任毒霸反病毒工程師已經兩年了，雖然看上去仍帶著學生的稚氣并且電腦上擺滿了日式卡通模型，卻已是病毒流行趨勢分析和病毒專殺工具方面的專家。在磁碟機仍在肆虐時，他就已經開始擔心會涌現出大批磁碟機的“弟子”，并且采用普通方法無法處理，果然應驗了。

吃過午飯后，騰飛把一份完整的病毒分析報告發給了Sakana，這個速度在病毒分析工作哦中已經是比較快的速度，一些剛入門的病毒分析師，可能要用一整天。從分析報告上，可以一目了然地看出，這個版本的水牛已經不同于病毒作者以前那些自娛自樂式的版本，早先的版本，清理專家就可以將其清除干凈，而這個版本卻針對毒霸進行了猛烈的對抗，它通過搜索進程和窗口名稱、查找編碼、模擬用戶指令、恢復SSDT表等方法，輕而易舉地就把毒霸、清理專家，以及其它多家國內外知名廠商的產品干掉，即便是宣稱自己擁有主動防御技術的一些廠商也不能幸免。當殺毒軟件都被解決之后，“水牛”就下載大量盜號木馬執行盜號。

#p#副標題#e#

“因為使用普通的技術暫時無法抵擋住病毒的進攻，那就需要使用專殺工具。”Sakana解釋說，“專殺工具采用的是‘后發制人’的機制，它刻意避開病毒搜索的進程、窗口的字符串和編碼，讓病毒無法關閉它，然后針對病毒弱點發起反擊。”

不過，專殺的制作也不是那么容易的，因為是緊急趕制，可能存在較多的BUG，為防止與系統沖突，需要經過多次調校。Sakana這次做的水牛專殺，從拿到分析報告到提交測試，一共花了10個小時，而騰飛這期間又分析了另外幾個病毒。在修改了從測試打回來的三次藍屏后，水牛專殺終于正式提交。

騰飛終于可以站起身子走動一下，這時已是凌晨1點，而他身邊的其他同事，依然在代碼中過濾著每一個可疑動作，今天一天，大家處理了5個最難啃的下載器。“哈，今天算是又把時間耗掉了，看來我也是病毒的受害者。”騰飛給老婆打完電話，準備回家。“希望專殺能盡快放出去，很多電腦等著用，不能看著做病毒的人那么猖獗，早點把他們的氣焰打下去，我們也就能早點輕松了。”