威金病毒为何难以清除
董师傅茶坊
提起威金病毒,估计大家都不会陌生,这个从今年5月份爆发,具有近200个变种和感染几十万台计算机的“毒功”功力,一直持续到现在还未完全清除的病毒,毫无疑问将登上2006年毒王的宝座。
掐指算来半年时间里,威金病毒创造了一天超过一个变种的记录,为了躲避杀毒软件查杀最多时一天竟生出6个变种,居然超过了部分杀毒软件的升级频率。本报网络安全版面曾多次针对此病毒发出预警警报。是什么原因导致威金病毒难以清除呢?为此董师傅特地请到了安全方面的专家杨宁来探讨这个话题。
董师傅:威金病毒(worm. Viking),利用了多种复合传播方式,集“网络感染”、“.exe文件感染”、“木马下载器”于一体。自动终止杀毒软件进程,随后感染系统可执行文件并打开系统后门下载其他木马病毒盗取QQ、魔兽等网游账号。
杨宁:是的,这个病毒最叫人头疼的是它能通过P2P网络共享传播,一旦有一位用户感染了威金那么所有与他共享的用户都要遭殃,致使传播范围极其广泛。威金病毒将传统的文件型病毒延伸到了网络,加快了传播速度。
董师傅:威金之所以能够如此长时间肆虐,我认为有以下两个方面的原因。一方面有其变种衍生速度过快等客观原因,另一方面则是安全厂商极为被动所致。
杨宁:近期,有一家安全厂商说他们终于彻底“免疫”了威金及其变种。在病毒肆虐半年后对用户说我们已经制服了威金病毒。这话并不是说在此之前防毒厂商没有对威金绞杀,但问题是为什么这么长时间没有一家安全厂商拿出有效的解决方案呢?原因就是威金病毒的清除难度超乎意料!
此病毒感染系统.exe可执行文件并下载其他恶意程序,大量系统文件被窜改甚至包括杀毒软件的主程序也遭破坏,瞬间将杀毒软件击垮并阻拦其升级。而随即打开的系统后门更是将众多恶意病毒木马带了进来,系统呈现千疮百孔的局面,部分用户甚至被臭名昭著的灰鸽子直接控制了系统。
这样就陷进了一个怪圈,一旦被威金病毒侵入系统关掉杀毒软件,随后而来的大量已知病毒都会死灰复燃,在用户系统里恣意妄为。
董师傅:杀毒软件是用户的最后一道防线,一旦杀毒软件被破坏了系统犹如被踢破了大门,病毒随即安营扎寨。同时前面提到的P2P下载也給威金病毒更大范围传播提供了绝佳的渠道。
杨宁:当威金感染一个用户共享的可执行程序作为种子提供下载时,成群的P2P用户也将被感染,这些被感染的用户又会成为种子,提供给更多人下载,由此导致P2P成了感染重灾区。
而威金病毒在企业内部网络的传播更加大了清除难度,它通过共享遍历这个网络四处躲避,大量垃圾数据使得局域网几近瘫痪,国内就有一家企业的整个内部网络完全崩溃,几十台千兆交换机全被病毒数据占用全网超时,每台电脑都在报警有毒却无法清除!
此外威金的多壳加密严峻考验着杀毒软件的脱壳能力,一旦脱不好壳,用户的杀毒软件就极易被威金病毒杀掉。
董师傅:威金上百变种大闹互联网半年,这两周势头渐弱了,感染用户数量也随之下降。你认为是什么原因呢?
杨宁:原因有二,首先是其变种衍生速度大为减缓,近一周来只出现了1个新变种。其次近200个变种也让杀毒厂商将它们剖析得更加彻底,大部分变种只是改写了部分代码,甚至直接换了“壳”就披挂上阵,其主要破坏代码已经有了规律。
董师傅:现在,威金病毒能够完全被杀毒软件清除吗?
杨宁:对于威金病毒及其上百个变种,各大安全厂商都已经可识别,但清除能力依然不能让人满意,部分杀毒软件算法虽然可直接杀掉染毒文件,却不想用户的.exe程序也随之呜呼了。可以说威金病毒远没有结束,一旦新变种重写代码绕过各家安全厂商特征库规律又有可能死灰复燃,正如似乎永远杀不尽的QQ木马一样。
董师傅:威金病毒让我们发现,现在的安全厂商在技术和服务方面还亟须完善。
杨宁:是的,国内防毒软件普遍存在自身保护太弱、脱壳能力低下等问题,遇到类似威金这样的病毒时因疲于应付变种却不想自己被病毒先干掉。同一个病毒变种加上各式各样的“壳”杀毒软件就认不出来了,需要更多时间分析,这样便大大拖延了最佳解决时段,致使更多用户感染。
董师傅:在服务方面国内的安全厂商似乎与国际接轨还有很长的路要走。
杨宁:或许是中国的用户都太老实,遇到没法清除的病毒也就认了,但在国外,防毒厂商给用户都有一个最终解决时间表,一旦用户感染病毒后,防毒厂商没有在承诺的时间内拿出有效解决方案或最新解药即被视为违约,需要赔偿由此对用户造成的损失,而这在国内用户看来这还只是“天方夜谭”。
董师傅:一个威金病毒让我们看到了当前防毒体系的脆弱和不完善,在和威金病毒的持久战中,各大安全厂商占据了一个相当重要的位置,董师傅这里善意提醒国内安全厂商除了做好技术外,更要做好服务,体现出对用户的责任和贴心关怀。同时,董师傅建议广大用户备份好自己的重要资料,以防病毒导致系统中数据损坏,将自己的损失降到最低。