%26ldquo;磁碟机%26rdquo;病毒近日在互联网引起轩然大波,由于病毒严重侵害了众多企业和个人用户电脑系统,引起了全国电脑用户的一致声讨。随着国内老牌反病毒厂商江民科技率先举起%26ldquo;全国追杀磁碟机%26rdquo;的旗帜,越来越多的杀毒厂商加入到了剿杀%26ldquo;磁碟机%26rdquo;的行列,打响了又一场反病毒大战。
去年的%26ldquo;熊猫烧香%26rdquo;病毒大战人们记忆犹新,因为病毒在电脑里面生成了很多举着三柱香的熊猫图案,一度引起全国电脑用户的议论和恐慌。然而,%26ldquo;磁碟机%26rdquo;病毒似乎并没有%26ldquo;熊猫烧香%26rdquo;那么火爆,但是许多反病毒专家都一致认为%26ldquo;磁碟机%26rdquo;危害十倍于%26ldquo;熊猫烧香%26rdquo;, 江民科技反病毒专家何公道近日对%26ldquo;磁碟机%26rdquo;和%26ldquo;熊猫烧香%26rdquo;病毒进行了对比分析,从中可以看出%26ldquo;磁碟机%26rdquo;病毒为什么会被推为%26ldquo;毒王%26rdquo;了。
一 、传播途径。%26ldquo;熊猫烧香%26rdquo;病毒有多种传播方式。通过U盘和感染网页文件挂马传播,通过局域网传播,通过攻破一些大型网站,采用在正常网页上挂马的方式传播。 %26ldquo;磁碟机%26rdquo;病毒利用%26ldquo;ARP病毒%26rdquo;在局域网中进行自我传播,病毒通过访问一个恶意网址,下载并自动运行二十多个病毒,通过其中的ARP病毒,%26ldquo;磁碟机%26rdquo;可以瞬间传遍整个网络内电脑。%26ldquo;磁碟机%26rdquo;也可以通过U盘和网页挂马传播。
二、反攻杀毒软件能力。%26ldquo;熊猫烧香%26rdquo;和%26ldquo;磁碟机%26rdquo;病毒都有反攻杀毒软件的能力,但不同的是,%26ldquo;熊猫烧香%26rdquo;只是通过发送关闭消息的方式关闭杀毒软件,而%26ldquo;磁碟机%26rdquo;则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控,使杀毒软件的监控功能失效,这一点上,%26ldquo;磁碟机%26rdquo;远远超过了%26ldquo;熊猫烧香%26rdquo;病毒,导致一些主动防御功能不强的杀毒软件纷纷被关闭。
三、自我保护和隐藏能力。%26ldquo;熊猫烧香%26rdquo;采用的是进程保护,病毒首先生成一个系统服务程序来保护其进程不被关闭,只要清除了病毒生成的系统服务,就可以轻松关闭其进程。而%26ldquo;磁碟机%26rdquo;在自我保护和隐藏技术上几乎无所不用其极,通过十余种技术来达到自我保护的目的。
四 、病毒变种和自我更新速度。%26ldquo;熊猫烧香%26rdquo;由于技术上较%26ldquo;磁碟机%26rdquo;简单,加上源代码可能外泄,因此病毒变种较多,而%26rdquo;磁碟机%26rdquo;由于病毒程序复杂,加上目前可以确定其源代码尚未泄露到互联网上,因此一周只出现两到三个变种,最多的时候达到了一天出现两个变种的速度,虽然相较于%26ldquo;熊猫烧香%26rdquo;在变种数量上稍逊一筹,但%26ldquo;磁碟机%26rdquo;的在线升级更新速度之快令人咋舌。江民反病毒专家怀疑%26ldquo;磁碟机%26rdquo;病毒使用了光纤接入的升级服务器,能够实现在下载量很大的情况下,病毒体也可以瞬间自动完成更新。