|
被称为“安全杀手”的电脑病毒“AV终结者”目前的变种数量已经超过了500余个,波及用户超过数10万。
据介绍,该病毒就像一把钥匙,将电脑所有的安全防护途径封锁,然后将安全之门打开,之后放进来各种各样的木马,这些木马进入之后想拿什么就拿什么,而用户对此毫无知觉。
&
nbsp;
金山毒霸戴光剑反病毒工程师认为“AV终结者”的种种表现以及传播和作案手段都显示出其背后集团化、企业化运作的痕迹。
戴光剑介绍说该病毒的整个传播和作案过程是经过精心策划的。金山毒霸全球反病毒应急处理中的研发人员一致分析认为该病毒存在两种传播渠道。即通过移动存储设备进行传播,以及通过攻击企业的服务器让挂马现象在整个企业网络中迅速蔓延。
反病毒工程师分析认为在第一种传播渠道中,病毒的幕后集团操纵或者买通了一部分人将写好的病毒程序拷贝到U盘或者移动硬盘上,然后到网吧等公共上网场所将这些移动存储设备插入电脑,而这些公共电脑的使用者就会在一无所知的情况下再通过移动存储设备将该病毒的传播范围进一步扩大。
在第二种传播渠道中,反病毒工程师分析认为病毒的幕后集团进行了很好的分工,一部分人负责攻击企业的服务器,攻击成功后另一部分人直接在服务器上配置利用ANI漏洞传播的病毒挂马,还有一部分人将这种挂马行为扩大到该服务器托管机房中的其他服务器上。
戴光剑介绍说“AV终结者”病毒的目的很明确,就是将用户的系统彻底变成“聋哑人”,继而给一切的木马病毒打开大门,实施各种作案行为。
“AV终结者”先将用户的windows防火墙、自动更新、杀毒软件等全部干掉,并使一切含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社区”“杀毒”、“专杀”等敏感字符串的软件和进程以及与此有关的网站全部无法打开。在用户的系统彻底变成“聋哑人”人之后,“AV终结者”病毒就会在用户毫无觉察的情况下从诸如http://head.bodyhtml.biz/update/update.txt等地址下载数百种盗号木马、广告木马、风险程序......这些新下载的病毒目的不一,有盗窃QQ号码的、盗取网游帐号和装备的、盗取网银帐号的等等。这些木马的制作者或者下游的购买者再拿走这个盗号链条上的自己所需要或者感兴趣的任何东西。据此前国家计算机网络应急处理中心统计,包括这些木马在内的整个木马黑色产业链条的年产值已超2.38亿元人民币,造成的损失则超过76亿元。
“AV终结者”病毒从传播到实施作案,任何一个阶段都采用了多种不同种类的病毒和攻击手段,任务的复杂度超过了以前出现的所有病毒。同时从戴光剑多年的从业经验来分析,该病毒目的的达成背后没有一个计划周密的公司或集团显然是无法完成的。“AV终结者”病毒的泛滥与“熊猫烧香”如出一辙,只是运作这个利益链的盗号集团,比“熊猫烧香”的作者李俊更加小心谨慎,手法也更隐晦。
戴光剑介绍说在这个集团人为放毒的过程中,也会留下某些蛛丝马迹。这些木马的下载服务器是整个利益链条中的聚合器,拥有或控制这些站点的人就是直接或间接受益人。通过这些下载地址顺藤摸瓜,就有可能揪出幕后“黑老大”。
|
