众所周知,传统特征码杀毒技术的工作流程是"截获-处理-升级",虽然这种技术已经非常成熟可靠,但总是滞后于病毒的传播。如果病毒模仿杀毒软件主动即时升级功能,在杀毒软件"截获-处理-升级"过程之间主动进行升级,传统杀毒软件岂不会再次陷入无法查杀的困境?
近日,微点主动防御软件自动捕获了一种具有"主动及时升级"功能的病毒,与常见的电脑病毒不同的是,该名为"Backdoor.Win32.Agent.esg"的木马病毒,采用了与杀毒软件"实时升级病毒库"相类似的升级方式,进行病毒自身的及时更新,该病毒通过后台自动连接到某一网络地址,进行病毒最新版本的及时下载升级,争取第一时间得到更新自身,以逃避传统杀毒软件对病毒的查杀。
据了解,该后门程序激活后,在系统目录下生成KUSN33SD.EXE和KUSN433SD3.DLL文件,并且修改系统时间,试图使部分杀毒软件过期失效;修改注册表,将KUSN33SD.EXE注册为名为kusn33sd的服务,并启动该服务;遍历系统进程,将自身注入到winlogon.exe进程中;修改IE主页;在后台开启一个IE进程,并注入到该IE进程中,并试图突破防火墙建立网络连接;获取用户的MAC地址、系统版本等信息,发送给黑客;联网检测病毒最新版本信息,自动将自身更新为病毒的最新版本。
图1为具有主动防御功能的安全软件的报警图
图2为微点升级后已知特征报警图
据微点反病毒专家介绍,近年来病毒编写技术日新月异,病毒无时无刻不在与反病毒技术进行较量。除被动的免杀外,病毒如今甚至猖獗到使用"主动及时升级"功能与传统杀毒软件公然进行正面对抗。业界专家普遍认为,随着安全形势的发展,杀毒软件的杀毒能力、升级效率和防护能力等核心技术指标遭到了前所未有的挑战,近年来反病毒行业整体向主动防御过渡大势所趋。反病毒专家提醒广大网友,建议广大用户使用主动防御安全软件,彻底根治此类病毒的传播与破坏。
网友评论