论坛中有关“AV终结者”病毒的咨询 , 仍然在继续增长 , 原来我还以为这个病毒中了之后 , 用户会很快发现杀毒软件工作异常 , 然后就会想办法去处理掉这个病毒 , 病毒的隐蔽性就不会太强 。但事实不是这样的 , 多数用户对杀毒软件不能正常工作并不觉得有异常 。因为 , 此时系统的其它功能基本不受影响 , 病毒也不会影响系统性能或影响网速 。以致于已经中毒的系统还可以申请远程协助 , 以完成手工杀毒操作 。
我在思考另一个问题――“AV终结者”病毒 , 是否和“熊猫烧香”一样 , 是盗号集团的杰作??
首先来看一下“AV终结者”病毒程序本身设计的传播功能――程序自身仅能通过U盘或移动硬盘传播 。一个具备如此简单传播方式的病毒 , 如何能引起这样大规模的传播呢?仅仅靠病毒程序的自然衍生 , 显然不能做到这一点 。那么 , 这个病毒极可能是人为操纵的结果 。
那么“AV终结者”病毒 , 最开始是通过什么途径入侵的呢?这个病毒后面是不是还隐藏着更多的迷?
在AV终结者之前 , 有两类病毒值得我们去关注 , 一是“Risk.exploit.ani”病毒 , 是利用ANI漏洞广泛挂马 。另一类 , 是利用ARP欺骗 , 劫持整个局域网会话 , 被劫持的局域网电脑用户访问任何网站都会同时从16.us站点(还有更多的下载站)下载木马 。
和熊猫烧香病毒案比起来 , “AV终结者”表现得更加隐蔽 , 该病毒对抗杀毒软件的伎俩差不多发挥到了极致 。整个“AV终结者”病毒传播链条之复杂程度 , 远超过熊猫烧香 。“AV终结者”病毒已经具备了企业化、公司化运作的特征 。“AV终结者”病毒传播链接大致包括以下三个阶段 。
第一阶段:传播“AV终结者”病毒
最快速有效的传播手法 , 是通过攻击企业公共服务器(通常是IDC机房托管的服务器) , 攻击成功后 , 直接在服务器上植入木马 , 再利用ANI漏洞迅速传播 。不仅如此 , 攻击者还会在被攻陷的服务器上植入ARP攻击程序 , 成功将挂马成果扩大到整个机房 。类似的手法 , 可以在攻入企业内部网后 , 发起ARP攻击行为 , 迅速让挂马现象在整个公司网络中漫延 。
另一种作法更直接 , 直接把制作完成的“AV终结者”病毒通过U盘 , 在网吧等公共上网场所人为传播 。方法很简单 , 到目标机器上插一下U盘就办到了 。
第二阶段:“AV终结者”病毒活跃期
“AV终结者”病毒成功入侵后 , 几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持 , 关闭windows防火墙和Windows自动更新 。为防止用户通过安全模式清除病毒 , 病毒干脆修改系统配置 , 不允许系统启动到安全模式 。这样做的目的很明确――就是迅速令中毒系统丧失安全防范能力 。
第三阶段:木马活跃期
经过前一阶段的准备 , “AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力 。然后 , 病毒内置的下载器功能大显身手 , 数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上 , 这些木马后门程序会拿走木马控制者所感兴趣的任何东西 。中毒电脑上最终的受损情况 , 要取决于木马控制者的喜好 。
为何判断这是盗号集团在企业化公司化运作?
理由是 , 在上面“AV终结者”病毒发展的三个阶段中 , 任一阶段均使用了多种不同的病毒和攻击手段 , 病毒不再是单打独斗 , 而是发展到协同作战的程度 。其复杂度体现在:传播阶段的手法多样性;入侵后对抗杀毒软件技术的复杂性;木马收获阶段 , 几乎面面俱到 , 无所不拿 。综合这些特点 , 很难想像 , 一个人或者仅仅几个人如何去完成这种复杂的任务 。
推荐阅读
- MSN机器人病毒手动查杀清理办法
- 苹果11手写怎么设置
- 越王使其大夫子余造舟翻译 越王使其大夫子余造舟的翻译是什么
- 幸福莫过于厨房有烟火下一句 幸福莫过于厨房有烟火下一句是什么
- 是我孤陋寡闻了!哪天是真正的“世界完全对称日”?
- Windows2003下使用“联想手机伴侣”
- 对称日多地民政局周末加班“靓号”结婚有必要吗?
- “世界完全对称日”有什么考究?21世纪有多少个对称日?
- 春节过后菜咋管?别让药害“钻空子”
- 上车饺子下车面有什么典故吗