赶制水牛新变种的专杀
半个小时后,腾飞看完代码,“又是一个下载器,水牛的新变种,有点难对付,清理专家和毒霸搞不定,得做专杀。”他转过头,冲着身后一个卡位上喊了声,“Sakana!和你猜的一样,有活干啦!我写完分析报告就交给你。”
Sakana是腾飞的同事,担任毒霸反病毒工程师已经两年了,虽然看上去仍带着学生的稚气并且电脑上摆满了日式卡通模型,却已是病毒流行趋势分析和病毒专杀工具方面的专家。在磁碟机仍在肆虐时,他就已经开始担心会涌现出大批磁碟机的“弟子”,并且采用普通方法无法处理,果然应验了。
吃过午饭后,腾飞把一份完整的病毒分析报告发给了Sakana,这个速度在病毒分析工作哦中已经是比较快的速度,一些刚入门的病毒分析师,可能要用一整天。从分析报告上,可以一目了然地看出,这个版本的水牛已经不同于病毒作者以前那些自娱自乐式的版本,早先的版本,清理专家就可以将其清除干净,而这个版本却针对毒霸进行了猛烈的对抗,它通过搜索进程和窗口名称、查找编码、模拟用户指令、恢复SSDT表等方法,轻而易举地就把毒霸、清理专家,以及其它多家国内外知名厂商的产品干掉,即便是宣称自己拥有主动防御技术的一些厂商也不能幸免。当杀毒软件都被解决之后,“水牛”就下载大量盗号木马执行盗号。
“因为使用普通的技术暂时无法抵挡住病毒的进攻,那就需要使用专杀工具。”Sakana解释说,“专杀工具采用的是‘后发制人’的机制,它刻意避开病毒搜索的进程、窗口的字符串和编码,让病毒无法关闭它,然后针对病毒弱点发起反击。”
图5 知识就是力量
不过,专杀的制作也不是那么容易的,因为是紧急赶制,可能存在较多的BUG,为防止与系统冲突,需要经过多次调校。Sakana这次做的水牛专杀,从拿到分析报告到提交测试,一共花了10个小时,而腾飞这期间又分析了另外几个病毒。在修改了从测试打回来的三次蓝屏后,水牛专杀终于正式提交。
腾飞终于可以站起身子走动一下,这时已是凌晨1点,而他身边的其他同事,依然在代码中过滤着每一个可疑动作,今天一天,大家处理了5个最难啃的下载器。“哈,今天算是又把时间耗掉了,看来我也是病毒的受害者。”腾飞给老婆打完电话,准备回家。“希望专杀能尽快放出去,很多电脑等着用,不能看着做病毒的人那么猖獗,早点把他们的气焰打下去,我们也就能早点轻松了。”
网友评论