I'n Blog 之萬象真藏

鐘曉軍　發佈時間： 2007-06-22 09:49　光明網

     被稱為“安全殺手”的電腦病毒“AV終結者”目前的變種數量已經超過了500餘個，波及用戶超過數10萬。 據介紹，該病毒就像一把鑰匙，將電腦所有的安全防護途徑封鎖，然後將安全之門打開，之後放進來各種各樣的木馬，這些木馬進入之後想拿什麼就拿什麼，而用戶對此毫無知覺。 &

nbsp;  金山毒霸戴光劍反病毒工程師認為“AV終結者”的種種表現以及傳播和作案手段都顯示出其背後集團化、企業化運作的痕跡。

    戴光劍介紹說該病毒的整個傳播和作案過程是經過精心策劃的。金山毒霸全球反病毒應急處理中的研發人員一致分析認為該病毒存在兩種傳播管道。即通過移動存放裝置進行傳播，以及通過攻擊企業的伺服器讓掛馬現象在整個企業網路中迅速蔓延。

    反病毒工程師分析認為在第一種傳播管道中，病毒的幕後集團操縱或者買通了一部分人將寫好的病毒程式拷貝到U盤或者移動硬碟上，然後到網吧等公共上網場所將這些移動存放裝置插入電腦，而這些公共電腦的使用者就會在一無所知的情況下再通過移動存放裝置將該病毒的傳播範圍進一步擴大。

    在第二種傳播管道中，反病毒工程師分析認為病毒的幕後集團進行了很好的分工，一部分人負責攻擊企業的伺服器，攻擊成功後另一部分人直接在伺服器上配置利用ANI漏洞傳播的病毒掛馬，還有一部分人將這種掛馬行為擴大到該伺服器託管機房中的其他伺服器上。

    戴光劍介紹說“AV終結者”病毒的目的很明確，就是將使用者的系統徹底變成“聾啞人”，繼而給一切的木馬病毒打開大門，實施各種作案行為。

    “AV終結者”先將用戶的windows防火牆、自動更新、殺毒軟體等全部幹掉，並使一切含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社區”“殺毒”、“專殺”等敏感字串的軟體和進程以及與此有關的網站全部無法打開。在使用者的系統徹底變成“聾啞人”人之後，“AV終結者”病毒就會在使用者毫無覺察的情況下從諸如possiblefraudstart "head.bodyhtml.biz" possiblefraudend http://head.bodyhtml.biz/update/update.txt等地址下載數百種盜號木馬、廣告木馬、風險程式......這些新下載的病毒目的不一，有盜竊QQ號碼的、盜取網遊帳號和裝備的、盜取網銀帳號的等等。這些木馬的製作者或者下游的購買者再拿走這個盜號鏈條上的自己所需要或者感興趣的任何東西。據此前國家電腦網路應急處理中心統計，包括這些木馬在內的整個木馬黑色產業鏈條的年產值已超2.38億元人民幣，造成的損失則超過76億元。

    “AV終結者”病毒從傳播到實施作案，任何一個階段都採用了多種不同種類的病毒和攻擊手段，任務的複雜度超過了以前出現的所有病毒。同時從戴光劍多年的從業經驗來分析，該病毒目的的達成背後沒有一個計畫周密的公司或集團顯然是無法完成的。“AV終結者”病毒的氾濫與“熊貓燒香”如出一轍，只是運作這個利益鏈的盜號集團，比“熊貓燒香”的作者李俊更加小心謹慎，手法也更隱晦。

    戴光劍介紹說在這個集團人為放毒的過程中，也會留下某些蛛絲馬跡。這些木馬的下載伺服器是整個利益鏈條中的聚合器，擁有或控制這些網站的人就是直接或間接受益人。通過這些下載位址順藤摸瓜，就有可能揪出幕後“黑老大”。