病毒巧推"多米诺骨牌" 金山毒霸率先查杀
“网友泡泡在论坛诉苦:下载U盘量产工具,运行后发现根本不是量产工具,桌面IE图标打开都是网址导航站,还被强行安装多个互联网软件。”9月23日,金山毒霸拦截到此类病毒,病毒的运行方式如推倒多米诺骨牌,可绕过多款安全软件,金山毒霸可以查杀。
网友泡泡下载的所谓“U盘量产工具”,实际为病毒作者拿正常互联网软件下载器修改,只将原程序下载正常软件的目标地址修改为病毒。金山毒霸工程师指出,可以被病毒作者改造的中国互联网软件下载器数以千计,这类工具将成为病毒传播的新机会。
运行这个被改造的软件下载器之后,会下载一个msi的安装包,内有10多个可执行程序,只有一个是病毒,其它文件均为正常程序。病毒作者用正常程序运行后的一连串动作来启动病毒。金山毒霸云安全中心监测数据表明,该类病毒的感染量每天超过数万台。
图1 样本示例:msi文件(内含10多个文件,只有install.bat是病毒)
金山安全专家指出,“这些动作看起来就象推倒多米诺骨牌,正常程序已被众多安全软件加入可信任的白名单。结果就会导致病毒运行时杀毒软件不拦截,用户的浏览器、桌面图标都被改写。
图2 金山毒霸工程师解释病毒作者推倒多米诺骨牌的流程
金山毒霸安全专家指出,在我们的电脑中,可以被病毒作者用来制作“多米诺骨牌”效应的软件可能非常多,有点防不胜防。这个病毒的利用特点值得安全厂商高度关注,在杀毒软件中简单添加白名单也许并不明智,用户需要反应更敏捷的杀毒软件。
这些病毒主要通过一些不常见的工具软件、破解补丁、游戏外挂等软件下载站来传播,当网民搜索一些不常见的软件时,应尽量选择天空、华军这种审核较严的下载站,避免从不知名的网站下载,小网站传播病毒的概率很高。
赞 (0)