从金山毒霸全球反病毒监测中心获悉,一个与av终结者、机器狗极为相似的恶性病毒“磁碟机”正在利用互联网快速传播。该病毒可导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象,而且更为严重的是,由于exe文件被感染,重装系统仍无法彻底清除。
金山毒霸反病毒专家李铁军表示,“磁碟机”病毒结合了目前病毒最流行的技术手段和传播手段,正在逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。
李铁军表示,磁碟机病毒主要通过,网站挂马、u盘、局域网内的arp传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过upx加壳,导致用户很难彻底清除。
与av终结者、机器狗病毒相似,磁碟机病毒也是公然对抗杀毒软件,破坏杀毒软件的自保护,并在c盘释放一个的驱动文件,并通过服务加载,使得很多杀毒软件的监控和主动防御失效,目的达到后,病毒会将驱动删除,消除痕迹。李铁军强调指出,目前类似磁碟机这类病毒,首先攻击杀毒软件让用户电脑失去防护,然后再下载大量盗号木马,对用户电脑为所欲为的病毒攻击方式已经成为当下病毒发展的一个显著的特点,这类病毒从某种程度上讲已经成为病毒产业链的“毒源”。
据了解,磁碟机病毒并不是一个新病毒,早在2007年2月的时候,就已经初现端倪。当时它仅仅作为一种蠕虫病毒,成为所有反病毒工作者的关注目标。当时的传播量和处理的技术难度都不大。然而在病毒作者经过长达一年的辛勤工作——数据表明,病毒作者几乎每两天就会更新一次病毒,其危害性已经赶超了av终结者、机器狗等病毒。
在彻底分析了磁碟机新变种的行为特征之后,金山毒霸全球反病毒监测中心启动应急流程,利用各种资源全面剿灭磁碟机病毒。在短短三天时间内,已经连续开发并测试发布了磁碟机专杀工具5.5、5.6、5.7三个版本,并且针对于磁碟机具有感染性的特点,在专杀工具中首次集成了引擎和病毒库。
根据受害用户的描述以及对其杀毒日志的分析后,金山毒霸反病毒工程师发现,类似用户小田的问题并不是一个病毒在作案,而是病毒“聚合”,而“毒源”正是一个名为“磁碟机”的木马下载器。
李铁军介绍,“机器狗、av终结者、磁碟机近期异常活跃。虽然它们只是木马下载器,本身不具备亲自盗号的能力,但它们可对抗安全软件及系统自带的安全工具,成功后后再下载大量其他木马。无论是劫持和关闭安全软件、删除安全软件的文件,还是关闭防火墙、阻止系统升级,下载器最终的目的只有一个:让其它木马能畅通无阻地进入用户电脑,为所欲为。”
近年,病毒作者与杀毒软件之间的对抗日益激烈,从最初的加壳、低调躲避安全软件,演变到了公开对抗,直接干掉安全软件。由于病毒的“黑名单”极为庞大,几乎目前所有的杀毒软件及安全辅助软件都有可能“牺牲”。
当安全软件一旦遭遇破坏,就如同打开了“潘多拉的魔盒”,各种木马病毒蜂拥而上。而机器狗、磁碟机等木马下载器正是充当了其他木马传播的通道。“它下载下来的任何一个木马程序,哪怕它再怎样毫无技术可言、老掉牙,也能轻松地偷到它想要的敏感信息。如此一来,木马们收获颇丰。”李铁军说道。这样的套数不禁让人联想到一个可怕的名词–艾滋病。艾滋病本身并不能致人于死地,而艾滋病破坏人的免疫系统,引发大量其他病症缺非常可怕。
这些引发网络“艾滋病”的磁碟机、机器狗等病毒自然成为了病毒产业链的“源头”。