AV终结者的出现
做杀毒软件近10年来,有一个病毒给我留下的印象最为深刻,这是一类从2007年泛滥至今的恶性病毒。这类病毒从它诞生之日起,就没有停止过和杀毒软件的对抗。它不象别的病毒,在和杀毒软件的对抗中采取守势或灵巧的绕过,而是坚持不断的改进,在入侵系统的同时,就试图将杀毒软件一举消灭,它就是AV终结者病毒。
AV终结者的出现
2007年5月,还是盗号木马泛滥的时代。在一段时间以内,市面主要流行的安全软件全部遭遇病毒集团的反击。如果不是比较关注安全,绝大部分用户根本没意识到电脑被攻击。中毒用户发现时,往往是在线游戏装备被盗。而2007年,还是网页挂马严重泛滥的一年。
回头分析一下当年网民所面临的风险:
1.在线游戏方兴未艾。
网购用户远比现在少,在线视频也受带宽的限制,只能看非一般清晰度的视频。大部分网民当时的下载速度在100KB/s左右,一部电影要下几个小时,一部电视剧要下几天,提供可以看得上眼的在线视频网站非常少,电脑城里卖盘的很火爆。
网络条件限制了网络应用,网游吸引的用户群占据主流,网民在游戏中消耗的时间令其它互联网企业嫉妒不已。
2.游戏的兴盛,使游戏周边产业火爆
游戏代练工作室培养了大量金币农夫,线上线下的装备交易非常活跃,很多人在网吧玩儿网游,热门网游里有大量职业玩家,游戏一开始,就在其中经营各种虚拟道具,好的游戏装备根本不愁卖。
3.盗号产业异常活跃
活跃的道具交易市场,大量廉价的金币农夫,许多类似于史玉柱的老板们带一个帮会,在游戏中一掷万金。盗号产业的从业者既不想当金币农夫,又想痛痛快快捞钱,他们的头脑中就一个字“偷”。
4.其他外部环境:
浏览器相关组件的漏洞多得补不过来,出个漏洞,制个挂马网页,再入侵一批网站把挂马代码一挂。或者,买断一些大流量的娱乐网站,把木马挂上边,就等着鱼儿上钩。
一个经典的0DAY一出,几小时内挂马网页就会出笼,中马率高达50%,杀毒软件是盗号产业链唯一需要抗衡的对手。或许是某个作者烦透了做免杀,突发奇想:直接灭掉杀毒软件好了。就这样,AV终结者出现了。
AV终结者的手段
最常用的招数,遍历进程中,发现有杀毒软件相关进程名,立刻尝试结束进程、删除文件。杀掉进程还不过瘾,再把注册表中杀毒软件的启动项删除,服务删除,用映像劫持将数十种杀毒软件对应的文件名添加到禁止运行的列表。
想到Windows安全模式修复更是没门,一到安全模式就蓝屏。可能有用户会感觉到中毒,决定去搜索一些答案,看看有没有别的方案解决。结果只要页面有杀毒字样,浏览器就自动关闭。想用任务管理器和注册表编辑器手动操作,同样不行,管理工具一打开就会被立刻关闭。
高手会想到用冰刃,也没用,冰刃也和杀毒软件一样,被加入打击清单,一运行就关闭再删除文件,好象用户只剩下重装这一条路。
网友评论