送走磁碟机 来了AUTO
经过对AV终结者、机器狗、磁碟机等一系列“重量级”病毒,以及磁碟机“藏匿”后涌现出的新病毒的分析,腾飞和同事们发现,在磁碟机事件后,国内计算机的开机蓝屏、杀毒软件无法启动的案例依旧没有减少,而罪魁祸首是一批具有AUTO传播功能的下载器程序。可是大部分用户和一些安全厂商沉浸在“打败”磁碟机的喜悦中,仅仅将这些现象作为常规病毒来处理,全然没有意识到一个不同于磁碟机的“慢性病毒”已接过磁碟机的接力棒。
图3 某个下载器的喽啰名单
“真不知道做病毒的人还有完没完,刚送走磁碟机这么一个瘟神,又来了堆AUTO小鬼。”腾飞摇着头笑笑。他认为病毒作者之间是有直接联系的,最近连续的几个重量级病毒可能是病毒作者们向反病毒行业轮流发起的挑战,为的是削弱安全软件厂商们的意志。“下载器一个又一个,我们的时间全耗在上面了,平时回家就很晚,原本还指望着周末能和老婆去湾仔吃海鲜,结果还是得吃食堂。”
“要知足!要知足!食堂免费又好吃!结婚的男人耳朵太软了!”另外几个仍打着光棍的反病毒工程师故意嚷嚷着。
腾飞从压缩包里找出一个病毒,把它丢进OLLYDBG,几秒钟后病毒的二进制代码就全部显示了出来。“这段时间我们分析了不少病毒,从代码上就可以很明显的看出,这些病毒在一些关键技术上具有相似之处。”腾飞说。“关闭进程,解除安全软件的印象劫持,恢复SSDT表,主动防御功能就失效了,好几个病毒都是这么干。”
图4 工作中
网友评论