|
被称为“安全杀手”的“AV终结者”病毒背后凸显出人为纵毒和病毒集团化运作的痕迹 -本报记者毛晶慧 被称为“安全杀手”的AV终结者病毒近日愈演愈烈,截止到6月12日,变种数已达500多个,波及人群超过10万人。病毒专家指出,“AV终结者”病毒的破坏过程被精心策划,用户一旦感染,几乎所有的解决途径均遭破坏,很难清除。 6月18日,中国经济时报记者采访金山毒霸全球反病毒应急处理中心时获悉,经过金山毒霸反病毒工程师的严密分析,被称为“安全杀手”的“AV终结者”病毒背后凸显出人为纵毒和病毒集团化运作的痕迹。 在金山毒霸反病毒工程师李铁军的叙述中,这个被称为谜一样的病毒一点点现出原形。 人为纵毒露马脚 自6月8日开始,金山毒霸反病毒工程师李铁军开始发现各种论坛、贴吧等地方出现了越来越多的关于该病毒的咨询,而金山毒霸的客服中心关于该病毒的咨询量也迅速飙升,这个病毒的日咨询量达到了金山毒霸客服部门日常咨询量的3倍以上。 6月8日晚,李铁军远程协助一位朋友完成了对一个“AV终结者”新变种的清除。在清除时李铁军发现该病毒将杀毒软件关闭后迅速在该机器上下载了数十个梦幻西游、魔兽、还有大话春秋的盗号木马。李铁军发现普通用户对杀毒软件是否正常工作并不太关注,而中了这个病毒之后,系统的其他功能基本正常。性能没有降低,并不影响用户上网,只是所有含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社区”、“卡卡社区”、“杀毒”、“病毒”、“木马”、“专杀”等敏感字符串的软件和进程以及与此有关的网站全部无法打开。李铁军逐渐感觉到这个病毒的不寻常。 一个通过U盘和移动硬盘传播的病毒如何引起这样大规模的传播呢?仅仅依靠病毒自然衍生,显然不能做到这一点。那么第一个入侵电脑的“AV终结者”又是通过哪个途径入侵的呢? 李铁军与金山毒霸珠海研发中心的反病毒工程师戴光剑通过长途电话和网络彻夜长谈。 他们得出这样一个结论:人为地将制作完成的“AV终结者”病毒通过U盘在网吧等公共上网场所传播。联想到近一段时间广泛出现的严重的网站挂马事件,以及不久前广泛出现的利用ARP欺骗,让整个局域网用户下载木马病毒的事件,他们认为还有一种简单有效的方式就是攻击企业的公众服务器。除了攻击企业的公众服务器,还可以攻击企业内部的服务器,用同样的方法攻入企业内部网络,展开ARP攻击,迅速让挂马现象在整个公司网络中蔓延。 这一结论很快得到其他安全厂商的认同。 病毒呈公司化运作 然而在这个问题之后一个更大的谜团是:如果是人为纵毒,那么是谁在背后主使着这一切?纵毒目的又是什么? 该病毒的目的很明确,封掉了用户的一切求助手段之后,病毒就会在用户毫无察觉的情况下下载数百种盗号木马、广告木马、风险程序......这一切的背后都是利益。 李铁军和戴光剑认为,“AV终结者”病毒的泛滥太像“熊猫烧香”病毒,只是运作这个利益链的盗号集团,比“熊猫烧香”的作者李俊更加小心谨慎,手法也更隐晦。 幕后黑手通过自己或者主使人将病毒传播到目标计算机后,立即展开破坏行动,“干掉”安全软件和windows防火墙以及自动更新,并让所有与病毒、安全等有关的论坛全部无法打开,而且在重装系统后仍残留在系统中。通过这一切手段让系统安全防御措施变成瞎子之后,大量下载各种目的不一的后门程序和木马。 戴光剑通过技术测试分析出“AV终结者”会下载数十种不同目的的木马后门程序,并且这些后门程序会像“灰鸽子”一样时时更新。另外还有百余种盗QQ号码的、盗网游帐号和装备的、盗网银帐号的木马。这些木马的制作者或者下游的购买者再拿走这个盗号链条上的自己所需要或者感兴趣的任何东西。 在“AV终结者”的整个利益链条中,任何一个阶段都采用了多种不同种类的病毒和攻击手段,任务的复杂度超过了以前出现的所有病毒。若不是一个计划周密的公司或者组织,是无法完成这一任务的。 未解之谜 戴光剑通过技术手段分析出,为无数木马和后门程序以及其他病毒打开方便之门的“AV终结者”会从如下地址下载各种木马病毒:http//head.bodyhtml.biz/update/update.Txt等。 而通过这些木马病毒的下载地址很容易查出背后的控制者是谁。这些下载服务器是整个利益链条中的聚合器。拥有或控制这些站点的人,将因此受益,但他们也终将会为此付出代价。 而面对这些,反病毒工程师只能感叹自己不是执法机构,这些未解的谜只能等待执法机构一一去查证了。
| 
