2010年「極虎病毒」事件

關鍵詞：極虎病毒，病毒預防，極虎病毒查殺

一、讖曰

圖1 黑客編寫電腦病毒程序

小白：放假過年我真歡喜，不法分子全年他不休息！

大東：網安意識你記心底，電腦病毒他進不去！

小白：極虎病毒他真可怕，虎年第一真不假！

大東：日常殺毒要做好，安全上網要做到，極虎極虎他來不了！

二、話說事件

小白：哎，國慶長假過去那麼久，距離下一個元旦小長假還有一個多月，過年是我現在的唯一期待了，多麼期待明天醒來就迎來假期，美好的假期！美好的日子！

大東：咳咳，小白，別期待了，在網安圈，一年365天，天天都要注意，元旦春節這些舉國歡慶的日子更不可以掉以輕心呀。

小白：不是吧，春節這種全家歡聚的日子裡居然有人會想要搞事？

大東：唉，春節期間流行病毒可不少，今天我就來給你講講那個在2010年春節嚴重影響了大家過年愉悅指數的「極虎病毒」。

小白：「極虎病毒」？聽起來很厲害呀，大東東，快講快講~

大東：「極虎病毒」在春節放假之前出現並在2月8號全面爆發，僅2月7日一天，就有100390台電腦感染該病毒，截止到9號被襲擊用戶電腦超過50萬台。即使是在假日期間平均日感染量也在7、8萬台電腦左右，而在長假結束後，其感染量更是迅速增長到12萬台以上，這還是金山毒霸成功幫助超過10萬用戶攔截了該病毒之後的數據。

圖2 「極虎病毒」在春節前後感染量

小白：我的天呀，這麼多！它真是超乎我的想像啊！

大東：」極虎病毒「可是當時被稱為」虎年第一猛毒「的病毒！他是金山毒霸雲安全實驗室國內首家發現的一款集合了磁碟機、AV終結者、中華吸血鬼、貓癬下載器為一體的混合病毒，此外，他還有」四最「呢。

小白：咦？哪四最呀？

大東：」一最「是他的傳播方式之多樣是歷次病毒之最，」二最「是他下載的病毒種類之豐富是歷次病毒之最，」三最「是他的清除之難是歷次病毒之最，「四最」呢則是指他的系統影響是歷次病毒之最。

三、大話始末

小白：大東東，你先來給我講講他的傳播方式吧！

大東：好啊，「極虎病毒」主要可以使用七種途徑來傳播。第一，網頁掛馬，他可以利用極光0day等漏洞廣泛傳播。第二，U盤、手機、數碼相機等移動設備。第三，區域網，他可以通過區域網的共享缺陷，通過弱口令進行內網滲透。第四，軟體捆綁及欺騙下載。第五，感染的網頁格式文件。第六可執行exe文件。第七，rar壓縮包文件，方式一，感染rar壓縮包中的可執行文件；方式二，將usp10.dll病毒文件強加到rar壓縮包通過系統文件挾持傳播。

小白：那次要的呢？

大東：「極虎病毒」的衍生變種大概還有其他三種傳播方式。第一，在系統文件夾創建usp10.dll和Ipk.dll，第二，部分變種會替換掉正常服務，如:appmgmts.dll、qmgr.dll、xmlprov.dll等。第三，當主程序被刪除後，如booter.exe，用所留後門，如svchost所載入之替換服務，利用iexplore.exe重新下載。

小白：這可真是太囂張了，他替換了我的文件，而且居然還會在被刪除後重新下載！我勸他善良啊！

大東：哈哈哈，小白，這也是他清除難度之大的體現之一啊！小白，你要不要猜猜他為什麼難以清除。

小白：嗯~他的傳播與區域網有關，想必，難度之一就是因為區域網全網查殺的難度大造成的。他還可以通過移動設備傳播，說明他容易會因此而反覆感染不易徹底查殺。同時，他能感染壓縮包和網頁文件，應該也是造成他不易清除的原因之一吧。大東東，我說的對不？

大東：嗯，給你打60分，我來補充補充。「極虎病毒」可以感染"appmgmts.dllmspmsnsv.dllIprip.dll"等11餘種系統文件，清除會造成系統問題，因此，殺毒軟體不敢輕易清除，而一些變種又因此可以反覆下載造成反覆感染。

小白：這豈不是就是小偷引誘我家的重要成員，即使我趕走他一次，他又可以通過被引誘者回來偷竊了嘛？

大東：是的。除此之外，「極虎病毒」的強大之處在於他可以主動對抗殺毒軟體，主動防禦攔截容易被針對性繞過，更可怕的是他擁有自保護驅動來攻擊對抗殺毒軟體。除此之外，「極虎病毒」更是每日更新，就跟西遊記中的「孫行者」、「者行孫」一般換衣換名讓殺毒軟體認不出。

小白：「極虎病毒」真是使出三十六般變化極力阻止被趕跑呀！誒，大東東，那他的附帶病毒都有那些呀？怎麼就讓他成為附帶病毒最豐富的了呢？

大東：來來來，我們來看看，「極虎病毒」這個」虎年春節大禮包「都包含了些啥。一是IE主頁篡改類病毒、二是熱門遊戲盜號器、三是流氓軟體安裝器，還有其他類型下載器病毒。全方面無死角讓你電腦成為「遊樂園」。

小白：這」遊樂園」可真不讓人愉快啊！咦，若是他下載的軟體安裝器還可以下載他自己，那這真的是圓環套圓環，讓你永遠擺脫不掉他呀！

大東：還有更可怕的呢！「極虎病毒」該病毒會感染用戶機器上的所有可執行文件，同時他非常隱蔽，採用"線程" 插入的方法，插入到正常的系統進程Svchost.exe中，只有在進程模塊中，才能看到病毒原體。而且，「極虎」還會造成系統卡慢的問題。

圖3 在冰刃中查看到的Svchost.exe模塊信息

小白：卡慢？中了病毒後電腦不都會很卡慢嗎，這還得用得著說嗎？

大東：這可不一定，但中了極虎病毒的電腦一定會很卡頓，因為此時病毒會調用WINRAR的解包模塊去查找解壓RAR文件，感染壓縮包中的其它程序文件後，再打包。而且由於該進程是system許可權的，所以你無法使用任務管理器關閉。

圖4 「極虎病毒」產生rar.exe,ping.exe進程

大東：除此之外，「極虎」還會破壞、替換系統文件，攻擊各種殺毒軟體，感染所有可執行文件，並聯網下載大量盜號、廣告類軟體，真真是無惡不作，令人頭大。

小白：真不愧是「虎年第一猛毒」啊！

四、小白內心說

小白：大東東，「極虎病毒」這麼可怕，我可怎麼預防他呀？

大東：唉，所有的電腦病毒都有一致的預防方法，那就是健康上網，不瀏覽不健康、可疑的網站，只下正版軟體，及時安裝殺毒軟體及時升級，勤殺毒，勤更新病毒庫，時刻防護。對於移動設備、下載的文件先殺毒後使用。

小白：這麼簡單？

大東：可不就是這麼簡單。時刻注意，防病毒就是這麼簡單！

小白：那我要是不小心感染了「極虎病毒」呢？那要怎麼做呢？

大東：對於「極虎病毒」，你可以使用主流殺毒軟體全面查殺系統，若是失敗了，你還可以下載「極虎病毒「專殺工具，專治」極虎「，讓這隻老虎變成」病貓「！

小白：那要是我沒辦法下載這個專殺工具怎麼辦呢？

大東：那就只好採用最原始的解決方案了，將整個硬碟格式化後使用光碟重裝系統。

小白：萬變不離其宗，看來所有的解決方法到最後都是重裝系統呀。

五、那年那事

小白：大東東，我懷疑我可能是失憶了。

大東：怎麼回事！

小白：我發現我對2010年毫無印象，彷彿這一年就是空白的。

大東：哈哈，我看你挺喜歡網購和追劇的，2010年，那對於網購和視頻網站們而言可是個極為重要的大年份。

小白：咦？什麼大年份？東東，你就別賣關子了，快說嘛~

大東：2010年團購市場特別火熱，從2010年3月開始，中國的網路團購網站數量迅速達到了數百個被業界戲稱「百團大戰」。除此之外，2010年電子商務網站麥考林、噹噹網上市相繼在美國上市，而在12月大批量電商企業集中上市，你說這是不是大事件？

小白：唉，你說的這些離我好像很遠呀，我還是什麼都想不起來呢。

大東：好吧好吧，那我說個你肯定記得住的。上海世博會你總還記得吧？

圖5 上海世博會中國館

小白：大東東，你這麼一說我就想起來啦！我當時可是排了好長好長好長的隊伍呢！城市，讓生活更美好！

大東：技術，讓未來更令人期待！

小白：嘻嘻~

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！