“磁碟機(jī)”病毒近日在互聯(lián)網(wǎng)引起軒然大波,由于病毒嚴(yán)重侵害了眾多企業(yè)和個(gè)人用戶電腦系統(tǒng),引起了全國(guó)電腦用戶的一致聲討。隨著國(guó)內(nèi)老牌反病毒廠商江民科技率先舉起“全國(guó)追殺磁碟機(jī)”的旗幟,越來(lái)越多的殺毒廠商加入到了剿殺“磁碟機(jī)”的行列,打響了又一場(chǎng)反病毒大戰(zhàn)。
去年的“熊貓燒香”病毒大戰(zhàn)人們記憶猶新,因?yàn)椴《驹陔娔X里面生成了很多舉著三柱香的熊貓圖案,一度引起全國(guó)電腦用戶的議論和恐慌。然而,“磁碟機(jī)”病毒似乎并沒(méi)有“熊貓燒香”那么火爆,但是許多反病毒專家都一致認(rèn)為“磁碟機(jī)”危害十倍于“熊貓燒香”,這是為什么呢?
江民科技反病毒專家何公道近日對(duì)“磁碟機(jī)”和“熊貓燒香”病毒進(jìn)行了對(duì)比分析,從中可以看出“磁碟機(jī)”病毒為什么會(huì)被推為“毒王”了。
一 、傳播途徑
“熊貓燒香”病毒有多種傳播方式。通過(guò)U盤和感染網(wǎng)頁(yè)文件掛馬傳播,通過(guò)局域網(wǎng)傳播,通過(guò)攻破一些大型網(wǎng)站,采用在正常網(wǎng)頁(yè)上掛馬的方式傳播。 “磁碟機(jī)”病毒利用“ARP病毒”在局域網(wǎng)中進(jìn)行自我傳播,病毒通過(guò)訪問(wèn)一個(gè)惡意網(wǎng)址,下載并自動(dòng)運(yùn)行二十多個(gè)病毒,通過(guò)其中的ARP病毒,“磁碟機(jī)”可以瞬間傳遍整個(gè)網(wǎng)絡(luò)內(nèi)電腦,局域網(wǎng)內(nèi)電腦通過(guò)FTTP方式在網(wǎng)上下載任何EXE或RAR文件,都會(huì)變成“磁碟機(jī)”病毒。“磁碟機(jī)”也可以通過(guò)U盤和網(wǎng)頁(yè)掛馬傳播,但目前尚沒(méi)有發(fā)現(xiàn)病毒作者通過(guò)攻破大型網(wǎng)站的方式掛馬傳播的案例,這也是目前“磁碟機(jī)”在傳播范圍上尚不及“熊貓燒香”的原因,但如果一旦病毒作者通過(guò)這種方式大面積傳播,后果將不堪設(shè)想。
二、反攻殺毒軟件能力
“熊貓燒香”和“磁碟機(jī)”病毒都有反攻殺毒軟件的能力,但不同的是,“熊貓燒香”只是通過(guò)發(fā)送關(guān)閉消息的方式關(guān)閉殺毒軟件,而“磁碟機(jī)”則通過(guò)生成一個(gè)內(nèi)核權(quán)限的驅(qū)動(dòng)程序來(lái)破壞殺毒軟件的監(jiān)控,使殺毒軟件的監(jiān)控功能失效,然后再關(guān)閉殺毒軟件并阻止殺毒軟件升級(jí),并屏蔽主流的殺毒軟件網(wǎng)頁(yè)。這一點(diǎn)上,“磁碟機(jī)”遠(yuǎn)遠(yuǎn)超過(guò)了“熊貓燒香”病毒,導(dǎo)致一些主動(dòng)防御功能不強(qiáng)的殺毒軟件紛紛被關(guān)閉,目前,“磁碟機(jī)”能夠關(guān)閉除江民殺毒軟件KV2008最新版本之外的大部分主流殺毒軟件,這也是為什么眾多企業(yè)在遇到“磁碟機(jī)”病毒時(shí),整個(gè)局域網(wǎng)內(nèi)幾乎無(wú)一臺(tái)電腦幸免病毒之災(zāi)的原因。
三、自我保護(hù)和隱藏能力
“熊貓燒香”采用的是進(jìn)程保護(hù),病毒首先生成一個(gè)系統(tǒng)服務(wù)程序來(lái)保護(hù)其進(jìn)程不被關(guān)閉,只要清除了病毒生成的系統(tǒng)服務(wù),就可以輕松關(guān)閉其進(jìn)程。而“磁碟機(jī)”在自我保護(hù)和隱藏技術(shù)上幾乎無(wú)所不用其極,通過(guò)十余種技術(shù)來(lái)達(dá)到自我保護(hù)的目的。例如:利用進(jìn)程守護(hù)技術(shù),發(fā)現(xiàn)病毒文件被刪除或被關(guān)閉,會(huì)馬上生成重新運(yùn)行。病毒程序以系統(tǒng)級(jí)權(quán)限運(yùn)行,DLL組件會(huì)插入到系統(tǒng)中幾乎所有的進(jìn)程中加載運(yùn)行(包括系統(tǒng)級(jí)權(quán)限的進(jìn)程)。利用了關(guān)機(jī)回寫技術(shù),在關(guān)閉計(jì)算機(jī)時(shí)把病毒主程序體保存到[啟動(dòng)]文件夾中,實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。系統(tǒng)啟動(dòng)后再將[啟動(dòng)]文件夾中病毒主體刪除掉,實(shí)現(xiàn)既可隱蔽啟動(dòng),又不被用戶發(fā)現(xiàn)的目的。使用反HIPS技術(shù)繞過(guò)部分主動(dòng)防御程序“HIPS”的監(jiān)控。利用光纖接入的服務(wù)器高速升級(jí)病毒體,迅速更新避免殺毒軟件查殺。
四、病毒變種和自我更新速度
“熊貓燒香”由于技術(shù)上較“磁碟機(jī)”簡(jiǎn)單,加上源代碼可能外泄,因此病毒變種較多,而”磁碟機(jī)”由于病毒程序復(fù)雜,加上目前可以確定其源代碼尚未泄露到互聯(lián)網(wǎng)上,因此一周只出現(xiàn)兩到三個(gè)變種,最多的時(shí)候達(dá)到了一天出現(xiàn)兩個(gè)變種的速度,雖然相較于“熊貓燒香”在變種數(shù)量上稍遜一籌,但“磁碟機(jī)”的在線升級(jí)更新速度之快令人咋舌。江民反病毒專家懷疑“磁碟機(jī)”病毒使用了光纖接入的升級(jí)服務(wù)器,能夠?qū)崿F(xiàn)在下載量很大的情況下,病毒體也可以瞬間自動(dòng)完成更新。
五、病毒的破壞性
在破壞性上,“熊貓燒香”和“磁碟機(jī)”都能夠感染電腦內(nèi)的可執(zhí)行文件和網(wǎng)頁(yè)文件,導(dǎo)致系統(tǒng)運(yùn)行緩慢,不同的是,“磁碟機(jī)”在感染文件過(guò)程中對(duì)感染文件進(jìn)行了加密存放,使得清除病毒難度更大。兩者都可以鏈接到惡意網(wǎng)頁(yè)下載木馬病毒,但在下載的木馬病毒數(shù)量上,“磁碟機(jī)”遠(yuǎn)超過(guò)“熊貓燒香”,“磁碟機(jī)”能夠下載二十余種木馬病毒,“熊貓燒香”只能下載一個(gè)或幾個(gè)木馬。而“磁碟機(jī)”借助ARP病毒給企業(yè)局域網(wǎng)用戶帶來(lái)了巨大的災(zāi)難性事故,由于“磁碟機(jī)”可以借助ARP方式瞬間感染所有局域網(wǎng)內(nèi)電腦,因此許多單位的工作因此中斷,造成了不可估量的損失。
六、 病毒的表現(xiàn)形式
在表現(xiàn)形式上,“熊貓燒香”的表現(xiàn)十分明顯,感染可執(zhí)行文件生成“熊貓燒香”的圖案,十分易于判斷。而“磁碟機(jī)”的感染則十分低調(diào)隱蔽。他千方百計(jì)隱藏自身的行蹤,普通用戶從表面看很難發(fā)現(xiàn)有中毒的痕跡,很多用戶中毒后尚不自知,除了感覺(jué)系統(tǒng)似乎變慢外無(wú)其它明顯異常癥狀。而“磁碟機(jī)”病毒也正是在這種刻意低調(diào)的偽裝下,伺機(jī)竊取用戶的隱私敏感信息,包括游戲帳號(hào)和網(wǎng)上銀行、網(wǎng)上證券交易等帳號(hào)密碼,這比“熊貓燒香”明目張膽的打劫更可怕。
