公然挑战杀毒软件的蠕虫——免疫2007年最嚣张的“大红猩猩”
网络安全
各位朋友好,江湖人称“大红猩猩”的就是我。原本我没有想过要闯荡江湖的,就让小辈在外面混混,可不久前在万毒谷发生了一件大事,一贯以破坏彻底著称的小浩宣布自己做错了,不该扰乱江湖,待在家里面壁思过,气死我了!身为蠕虫护法的我,出山了。
为什么我这么让人害怕
我的成名绝技就是“七伤拳”,粗看上去跟“AV终结者”十分相似,但是威力却不可同日而语。一旦不幸中了我的“七伤拳”,CPU资源便会被大量占用,导致系统瘫痪。我的重定向劫持功能可以关闭近百种杀毒软件和安全工具的进程。
为了防止用户清除我,我还禁止用户登录数十家反病毒厂商的网站,阻止杀毒软件升级;禁用系统“显示隐藏文件”功能,破坏系统安全模式。
计算机磁盘中最常见的可执行文件在被我成功感染后,就需要重装系统了。有人说用杀毒软件可以清除我,他们不知道那个时候杀毒软件已经被我关了“禁闭”,它们自己都是泥菩萨过河。想知道我是如何“发威”的吗?且听我慢慢道来。
七伤拳第一式:首先我会自动创建进程winfuckjp.exe,我创建的整个进程采用了RootKit技术隐藏自身,用Windows系统自带的任务管理器根本察看不到。同时在%SystemRoot%\system32\目录中生成winfuckjp.exe文件。
另外还会在闪存、移动硬盘等移动存储设备,以及每个硬盘分区与目录下生成病毒文件AutoRun.inf和ri.exe,这样当用户双击移动存储设备以及硬盘各个分区的时候就会激活我运行。
七伤拳第二式:我会感染系统中所有可执行文件,将它们的程序图标修改为“大红猩猩”图标(图1),并且向这些文件的文件头部添加7725字节的数据。就算用户通过某些方法将我清除,但是当用户双击这些被感染的程序后,我会立即在磁盘中复活。
七伤拳第三式:我还会在注册表中添加启动项,这样在Windows系统启动时,我就会随系统自动执行。另外我还会修改注册表相关键值,破坏“文件夹选项”功能,从而让用户禁用“显示隐藏文件”的功能,以及破坏系统的安全模式。这样用户就无法进入安全模式清除我了。
七伤拳第四式:当我运行后,会尝试使用系统的Taskkill/f/im命令,关闭所有已知的杀毒软件和安全工具的进程。并且通过修改注册表信息中的IFEO 键值,完成系统的映像劫持操作,从而阻止一些杀毒软件和安全工具的运行。通过修改操作系统的HOSTS表,禁止用户登录数十家反病毒厂商的网址,阻止杀毒软件升级到最新的病毒库内容。
七伤拳第五式:我的传播除了通过移动存储设备进行外,还可以利用网页木马传播。只需要将我植入到网页中,当用户浏览网页后并成功激活系统漏洞,我就可以在网络上疯狂地进行传播了。
七伤拳第六式:这也是我最得意、最满意的地方,不光要向用户展现我的实力,还要对网络江湖进行一番点评(图2),尤其是我的老对手——杀毒软件。我对国内外4款2008年版杀毒软件的自我保护能力进行了评价,在源代码内留言评价杀毒软件在国内反病毒史上还是第一次!
编辑支招
招式1:编辑再次提醒广大计算机用户,禁用系统中的自动播放功能,防止病毒通过闪存、移动硬盘等移动存储设备进入到计算机。
运行《Autorun病毒防御者》(下载地址:http://www.cpcw.com/bzsoft/)后,点击“辅助工具”中的“免疫工具”,接着点击“全选”按钮,然后再点击“免疫所选”按钮,最后在“系统自动播放功能开关”中点击“应用”按钮即可。另外还可以通过“U盘软写保护”功能,打开移动设备的软写保护。
招式2:利用系统中的Windows Update功能打全系统补丁,尤其是打好MS06-014和MS07-017这两个网页木马经常使用的系统漏洞补丁,避免病毒通过恶意的网页木马入侵用户电脑系统。
招式3:务必不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,因为这些文件可能就是被感染的可执行文件。不要登录来历不明的网址,从而防止遭受到病毒的侵害。
编辑观点:技术集合类病毒将成趋势
“大红猩猩”病毒的鲜明个性让用户和安全厂商都感到不安。它公然在病毒代码内留言挑战2008年版杀毒软件,威胁网络安全,足以证明病毒作者是多么的嚣张。从病毒的发展趋势来看,今后会出现很多集合了所有流行技术于一身的病毒,加大了病毒防范的难度。