5月24日,金山网络安全中心捕获到一种特别的盗号木马,该木马使用了高超的隐藏技巧,每50秒变形生成一个新的可执行文件运行,金山网络据此将其命名为“百变毒虫”。据统计,“百变毒虫”病毒日感染量正在逼近1万台PC,数万网游玩家帐号安全面临威胁。
“百变毒虫”病毒利用一个完全正常的系统服务WMI(Windows Management Instrumentation缩写)隔50秒尝试运行一次病毒程序systen.exe。WMI服务是Windows系统内置的一个核心服务,WMI服务可以实现强大的系统管理功能,包括定时运行某个特定的程序,主流杀毒软件的防杀功能均未将WMI服务存在恶意利用的问题列入危险加载点。
当前绝大多数病毒主要依赖修改系统配置文件和注册表项来实现开机自动运行,这些常规的开机运行方式基本被杀毒软件有效防御。一些病毒作者被迫去寻找“非主流”的程序运行方式,其中就包括利用WMI服务来运行病毒。
金山网络安全专家指出,“早2004年,就有安全研究人员分析过利用WMI服务来启动危险程序的方法,在“百变毒虫”病毒之前,该方法极少被病毒作者使用。”
除了特殊的开机加载方式,“百变毒虫”病毒还会每50秒变形一次,使得病毒主程序从一开始的40MB增大到数百MB。病毒程序每变形一次,文件指纹(MD5值)就会跟着变。“百变毒虫”不断通过变换文件指纹(MD5值)来逃避依赖MD5值查杀的杀毒软件。
“专业杀毒软件采用文件特征来匹配病毒,文件指纹(MD5)改变时,病毒文件的特征仍然不变,该病毒因而无法逃避金山毒霸的查杀。”金山网络安全专家解释说,“用MD5值鉴定病毒非常原始,效率也很低,一个MD5值只能识别一个病毒,一个特征码值则可以识别一种病毒的全部变种。”
“百变毒虫”病毒的主要目的是下载更多盗号木马以盗窃网游帐号,追溯其感染数据发现,该病毒的感染量呈逐步上升态势,目前每天感染量近万台。该病毒主要通过一些游戏外挂下载站传播,也有一些盗版视频网站将病毒和专用播放器捆绑。
金山网络安全专家指出,目前来看“百变毒虫”病毒的目标是网游玩家,但病毒所采用的特殊启动方式有可能被其他病毒作者效仿。金山毒霸已经专门针对此病毒的启动方式紧急升级,可以通杀此类病毒。
注:MD5为计算机安全领域广泛使用的一种散列函数,一个MD5值只能匹配唯一的文件,通常被俗称为“文件指纹”。文件被修改后,新文件的MD5值和旧文件的会不一样。因病毒变异导致MD5值改变,那些采用MD5识别的杀毒软件就会出现漏杀。
网友评论