一、谶曰
电脑图1 黑客编写电脑病毒程序
小白:放假过年我真欢喜,不法分子全年他不休息!
大东:网安意识你记心底,电脑病毒他进不去!
小白:极虎病毒他真可怕,虎年第一真不假!
大东:日常杀毒要做好,安全上网要做到,极虎极虎他来不了!
二、话说事件
小白:哎,国庆长假过去那么久,距离下一个元旦小长假还有一个多月,过年是我现在的唯一期待了,多么期待明天醒来就迎来假期,美好的假期!美好的日子!
大东:咳咳,小白,别期待了,在网安圈,一年365天,天天都要注意,元旦春节这些举国欢庆的日子更不可以掉以轻心呀。
小白:不是吧,春节这种全家欢聚的日子里居然有人会想要搞事?
大东:唉,春节期间流行病毒可不少,今天我就来给你讲讲那个在2010年春节严重影响了大家过年愉悦指数的“极虎病毒”。
小白:“极虎病毒”?听起来很厉害呀,大东东,快讲快讲~
大东:“极虎病毒”在春节放假之前出现并在2月8号全面爆发,仅2月7日一天,就有100390台电脑感染该病毒,截止到9号被袭击用户电脑超过50万台。即使是在假日期间平均日感染量也在7、8万台电脑左右,而在长假结束后,其感染量更是迅速增长到12万台以上,这还是金山毒霸成功帮助超过10万用户拦截了该病毒之后的数据。
图2 “极虎病毒”在春节前后感染量
小白:我的天呀,这么多!它真是超乎我的想象啊!
大东:”极虎病毒“可是当时被称为”虎年第一猛毒“的病毒!他是金山毒霸云安全实验室国内首家发现的一款集合了磁碟机、AV终结者、中华吸血鬼、猫癣下载器为一体的混合病毒,此外,他还有”四最“呢。
小白:咦?哪四最呀?
大东:”一最“是他的传播方式之多样是历次病毒之最,”二最“是他下载的病毒种类之丰富是历次病毒之最,”三最“是他的清除之难是历次病毒之最,“四最”呢则是指他的系统影响是历次病毒之最。
三、大话始末
小白:大东东,你先来给我讲讲他的传播方式吧!
大东:好啊,“极虎病毒”主要可以使用七种途径来传播。第一,网页挂马,他可以利用极光0day等漏洞广泛传播。第二,U盘、手机、数码相机等移动设备。第三,局域网,他可以通过局域网的共享缺陷,通过弱口令进行内网渗透。第四,软件捆绑及欺骗下载。第五,感染的网页格式文件。第六可执行exe文件。第七,rar压缩包文件,方式一,感染rar压缩包中的可执行文件;方式二,将usp10.dll病毒文件强加到rar压缩包通过系统文件挟持传播。
小白:那次要的呢?
大东:“极虎病毒”的衍生变种大概还有其他三种传播方式。第一,在系统文件夹创建usp10.dll和Ipk.dll,第二,部分变种会替换掉正常服务,如:appmgmts.dll、qmgr.dll、xmlprov.dll等。第三,当主程序被删除后,如booter.exe,用所留后门,如svchost所加载之替换服务,利用iexplore.exe重新下载。
小白:这可真是太嚣张了,他替换了我的文件,而且居然还会在被删除后重新下载!我劝他善良啊电脑!
大东:哈哈哈,小白,这也是他清除难度之大的体现之一啊!小白,你要不要猜猜他为什么难以清除。
小白:嗯~他的传播与局域网有关,想必,难度之一就是因为局域网全网查杀的难度大造成的。他还可以通过移动设备传播,说明他容易会因此而反复感染不易彻底查杀。同时,他能感染压缩包和网页文件,应该也是造成他不易清除的原因之一吧。大东东,我说的对不?
大东:嗯,给你打60分,我来补充补充。“极虎病毒”可以感染\"appmgmts.dllmspmsnsv.dllIprip.dll\"等11余种系统文件,清除会造成系统问题,因此,杀毒软件不敢轻易清除,而一些变种又因此可以反复下载造成反复感染。
小白:这岂不是就是小偷引诱我家的重要成员,即使我赶走他一次,他又可以通过被引诱者回来偷窃了嘛?
大东:是的。除此之外,“极虎病毒”的强大之处在于他可以主动对抗杀毒软件,主动防御拦截容易被针对性绕过,更可怕的是他拥有自保护驱动来攻击对抗杀毒软件。除此之外,“极虎病毒”更是每日更新,就跟西游记中的“孙行者”、“者行孙”一般换衣换名让杀毒软件认不出。
小白:“极虎病毒”真是使出三十六般变化极力阻止被赶跑呀!诶,大东东,那他的附带病毒都有那些呀?怎么就让他成为附带病毒最丰富的了呢?
大东:来来来,我们来看看,“极虎病毒”这个”虎年春节大礼包“都包含了些啥。一是IE主页篡改类病毒、二是热门游戏盗号器、三是流氓软件安装器,还有其他类型下载器病毒。全方面无死角让你电脑成为“游乐园”。
小白:这”游乐园”可真不让人愉快啊!咦,若是他下载的软件安装器还可以下载他自己,那这真的是圆环套圆环,让你永远摆脱不掉他呀!
大东:还有更可怕的呢!“极虎病毒”该病毒会感染用户机器上的所有可执行文件,同时他非常隐蔽,采用\"线程\" 插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。而且,“极虎”还会造成系统卡慢的问题。
电脑图3 在冰刃中查看到的Svchost.exe模块信息
小白:卡慢?中了病毒后电脑不都会很卡慢吗,这还得用得着说吗?
大东:这可不一定,但中了极虎病毒的电脑一定会很卡顿,因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件,感染压缩包中的其它程序文件后,再打包。而且由于该进程是system权限的,所以你无法使用任务管理器关闭。
图4 “极虎病毒”产生rar.exe,ping.exe进程
大东:除此之外,“极虎”还会破坏、替换系统文件,攻击各种杀毒软件,感染所有可执行文件,并联网下载大量盗号、广告类软件,真真是无恶不作,令人头大。
小白:真不愧是“虎年第一猛毒”啊!
四、小白内心说
小白:大东东,“极虎病毒”这么可怕,我可怎么预防他呀?
大东:唉,所有的电脑病毒都有一致的预防方法,那就是健康上网,不浏览不健康、可疑的网站,只下正版软件,及时安装杀毒软件及时升级,勤杀毒,勤更新病毒库,时刻防护。对于移动设备、下载的文件先杀毒后使用。
小白:这么简单?
大东:可不就是这么简单。时刻注意,防病毒就是这么简单!
小白:那我要是不小心感染了“极虎病毒”呢?那要怎么做呢?
大东:电脑对于“极虎病毒”,你可以使用主流杀毒软件全面查杀系统,若是失败了,你还可以下载“极虎病毒“专杀工具,专治”极虎“,让这只老虎变成”病猫“!
小白:那要是我没办法下载这个专杀工具怎么办呢?
大东:那就只好采用最原始的解决方案了,将整个硬盘格式化后使用光盘重装系统。
小白:万变不离其宗,看来所有的解决方法到最后都是重装系统呀。
五、那年那事
小白:大东东,我怀疑我可能是失忆了。
大东:怎么回事!
小白:我发现我对2010年毫无印象,仿佛这一年就是空白的。
大东:哈哈,我看你挺喜欢网购和追剧的,2010年,那对于网购和视频网站们而言可是个极为重要的大年份。
小白:咦?什么大年份?东东,你就别卖关子了,快说嘛~
大东:2010年团购市场特别火热,从2010年3月开始,中国的网络团购网站数量迅速达到了数百个被业界戏称“百团大战”。除此之外,2010年电子商务网站麦考林、当当网上市相继在美国上市,而在12月大批量电商企业集中上市,你说这是不是大事件?
小白:唉,你说的这些离我好像很远呀,我还是什么都想不起来呢。
大东:好吧好吧,那我说个你肯定记得住的。上海世博会你总还记得吧?
图5 上海世博会中国馆
小白:大东东,你这么一说我就想起来啦!我当时可是排了好长好长好长的队伍呢!城市,让生活更美好!
大东:技术,让未来更令人期待!
小白:嘻嘻~
电脑