2010年「極虎病毒」事件
關鍵詞:極虎病毒,病毒預防,極虎病毒查殺
一、讖曰
圖1 黑客編寫電腦病毒程序
小白:放假過年我真歡喜,不法分子全年他不休息!
大東:網安意識你記心底,電腦病毒他進不去!
小白:極虎病毒他真可怕,虎年第一真不假!
大東:日常殺毒要做好,安全上網要做到,極虎極虎他來不了!
二、話說事件
小白:哎,國慶長假過去那麼久,距離下一個元旦小長假還有一個多月,過年是我現在的唯一期待了,多麼期待明天醒來就迎來假期,美好的假期!美好的日子!
大東:咳咳,小白,別期待了,在網安圈,一年365天,天天都要注意,元旦春節這些舉國歡慶的日子更不可以掉以輕心呀。
小白:不是吧,春節這種全家歡聚的日子裡居然有人會想要搞事?
大東:唉,春節期間流行病毒可不少,今天我就來給你講講那個在2010年春節嚴重影響了大家過年愉悅指數的「極虎病毒」。
小白:「極虎病毒」?聽起來很厲害呀,大東東,快講快講~
大東:「極虎病毒」在春節放假之前出現並在2月8號全面爆發,僅2月7日一天,就有100390台電腦感染該病毒,截止到9號被襲擊用戶電腦超過50萬台。即使是在假日期間平均日感染量也在7、8萬台電腦左右,而在長假結束後,其感染量更是迅速增長到12萬台以上,這還是金山毒霸成功幫助超過10萬用戶攔截了該病毒之後的數據。
圖2 「極虎病毒」在春節前後感染量
小白:我的天呀,這麼多!它真是超乎我的想像啊!
大東:」極虎病毒「可是當時被稱為」虎年第一猛毒「的病毒!他是金山毒霸雲安全實驗室國內首家發現的一款集合了磁碟機、AV終結者、中華吸血鬼、貓癬下載器為一體的混合病毒,此外,他還有」四最「呢。
小白:咦?哪四最呀?
大東:」一最「是他的傳播方式之多樣是歷次病毒之最,」二最「是他下載的病毒種類之豐富是歷次病毒之最,」三最「是他的清除之難是歷次病毒之最,「四最」呢則是指他的系統影響是歷次病毒之最。
三、大話始末
小白:大東東,你先來給我講講他的傳播方式吧!
大東:好啊,「極虎病毒」主要可以使用七種途徑來傳播。第一,網頁掛馬,他可以利用極光0day等漏洞廣泛傳播。第二,U盤、手機、數碼相機等移動設備。第三,區域網,他可以通過區域網的共享缺陷,通過弱口令進行內網滲透。第四,軟體捆綁及欺騙下載。第五,感染的網頁格式文件。第六可執行exe文件。第七,rar壓縮包文件,方式一,感染rar壓縮包中的可執行文件;方式二,將usp10.dll病毒文件強加到rar壓縮包通過系統文件挾持傳播。
小白:那次要的呢?
大東:「極虎病毒」的衍生變種大概還有其他三種傳播方式。第一,在系統文件夾創建usp10.dll和Ipk.dll,第二,部分變種會替換掉正常服務,如:appmgmts.dll、qmgr.dll、xmlprov.dll等。第三,當主程序被刪除後,如booter.exe,用所留後門,如svchost所載入之替換服務,利用iexplore.exe重新下載。
小白:這可真是太囂張了,他替換了我的文件,而且居然還會在被刪除後重新下載!我勸他善良啊!
大東:哈哈哈,小白,這也是他清除難度之大的體現之一啊!小白,你要不要猜猜他為什麼難以清除。
小白:嗯~他的傳播與區域網有關,想必,難度之一就是因為區域網全網查殺的難度大造成的。他還可以通過移動設備傳播,說明他容易會因此而反覆感染不易徹底查殺。同時,他能感染壓縮包和網頁文件,應該也是造成他不易清除的原因之一吧。大東東,我說的對不?
大東:嗯,給你打60分,我來補充補充。「極虎病毒」可以感染"appmgmts.dllmspmsnsv.dllIprip.dll"等11餘種系統文件,清除會造成系統問題,因此,殺毒軟體不敢輕易清除,而一些變種又因此可以反覆下載造成反覆感染。
小白:這豈不是就是小偷引誘我家的重要成員,即使我趕走他一次,他又可以通過被引誘者回來偷竊了嘛?
大東:是的。除此之外,「極虎病毒」的強大之處在於他可以主動對抗殺毒軟體,主動防禦攔截容易被針對性繞過,更可怕的是他擁有自保護驅動來攻擊對抗殺毒軟體。除此之外,「極虎病毒」更是每日更新,就跟西遊記中的「孫行者」、「者行孫」一般換衣換名讓殺毒軟體認不出。
小白:「極虎病毒」真是使出三十六般變化極力阻止被趕跑呀!誒,大東東,那他的附帶病毒都有那些呀?怎麼就讓他成為附帶病毒最豐富的了呢?
大東:來來來,我們來看看,「極虎病毒」這個」虎年春節大禮包「都包含了些啥。一是IE主頁篡改類病毒、二是熱門遊戲盜號器、三是流氓軟體安裝器,還有其他類型下載器病毒。全方面無死角讓你電腦成為「遊樂園」。
小白:這」遊樂園」可真不讓人愉快啊!咦,若是他下載的軟體安裝器還可以下載他自己,那這真的是圓環套圓環,讓你永遠擺脫不掉他呀!
大東:還有更可怕的呢!「極虎病毒」該病毒會感染用戶機器上的所有可執行文件,同時他非常隱蔽,採用"線程" 插入的方法,插入到正常的系統進程Svchost.exe中,只有在進程模塊中,才能看到病毒原體。而且,「極虎」還會造成系統卡慢的問題。
圖3 在冰刃中查看到的Svchost.exe模塊信息
小白:卡慢?中了病毒後電腦不都會很卡慢嗎,這還得用得著說嗎?
大東:這可不一定,但中了極虎病毒的電腦一定會很卡頓,因為此時病毒會調用WINRAR的解包模塊去查找解壓RAR文件,感染壓縮包中的其它程序文件後,再打包。而且由於該進程是system許可權的,所以你無法使用任務管理器關閉。
圖4 「極虎病毒」產生rar.exe,ping.exe進程
大東:除此之外,「極虎」還會破壞、替換系統文件,攻擊各種殺毒軟體,感染所有可執行文件,並聯網下載大量盜號、廣告類軟體,真真是無惡不作,令人頭大。
小白:真不愧是「虎年第一猛毒」啊!
四、小白內心說
小白:大東東,「極虎病毒」這麼可怕,我可怎麼預防他呀?
大東:唉,所有的電腦病毒都有一致的預防方法,那就是健康上網,不瀏覽不健康、可疑的網站,只下正版軟體,及時安裝殺毒軟體及時升級,勤殺毒,勤更新病毒庫,時刻防護。對於移動設備、下載的文件先殺毒後使用。
小白:這麼簡單?
大東:可不就是這麼簡單。時刻注意,防病毒就是這麼簡單!
小白:那我要是不小心感染了「極虎病毒」呢?那要怎麼做呢?
大東:對於「極虎病毒」,你可以使用主流殺毒軟體全面查殺系統,若是失敗了,你還可以下載「極虎病毒「專殺工具,專治」極虎「,讓這隻老虎變成」病貓「!
小白:那要是我沒辦法下載這個專殺工具怎麼辦呢?
大東:那就只好採用最原始的解決方案了,將整個硬碟格式化後使用光碟重裝系統。
小白:萬變不離其宗,看來所有的解決方法到最後都是重裝系統呀。
五、那年那事
小白:大東東,我懷疑我可能是失憶了。
大東:怎麼回事!
小白:我發現我對2010年毫無印象,彷彿這一年就是空白的。
大東:哈哈,我看你挺喜歡網購和追劇的,2010年,那對於網購和視頻網站們而言可是個極為重要的大年份。
小白:咦?什麼大年份?東東,你就別賣關子了,快說嘛~
大東:2010年團購市場特別火熱,從2010年3月開始,中國的網路團購網站數量迅速達到了數百個被業界戲稱「百團大戰」。除此之外,2010年電子商務網站麥考林、噹噹網上市相繼在美國上市,而在12月大批量電商企業集中上市,你說這是不是大事件?
小白:唉,你說的這些離我好像很遠呀,我還是什麼都想不起來呢。
大東:好吧好吧,那我說個你肯定記得住的。上海世博會你總還記得吧?
圖5 上海世博會中國館
小白:大東東,你這麼一說我就想起來啦!我當時可是排了好長好長好長的隊伍呢!城市,讓生活更美好!
大東:技術,讓未來更令人期待!
小白:嘻嘻~
來源:中國科學院計算技術研究所
TAG:中科院之聲 |