论坛中有关“AV终结者”病毒的咨询,仍然在继续增长,
毒霸客服中心每天处理的AV终结者病毒相关咨询,至少是以前其它病毒咨询的3倍以上。并且,这种状况持续了数周,为解决针对这个病毒的清除难题,我们先后公开了两个版本的专杀工具。
, K6 C! S2 O8 c) v
原来我还以为这个病毒中了之后,用户会很快发现杀毒
软件工作异常,然后就会想办法去处理掉这个病毒,病毒的隐蔽性就不会太强。但事实不是这样的,多数用户对
杀毒软件不能正常工作并不觉得有异常。因为,此时系统的其它功能基本不受影响,病毒也不会影响系统性能或影响网速。以致于已经中毒的
系统还可以申请远程协助,以完成手工杀毒操作。
+ M! k" Y6 y' ~) m) _% n$ u
3 h8 N; S4 |( ~, S+ v( G% l, C, ^我在思考另一个问题——“AV终结者”病毒,是否和“熊猫烧香”一样,是盗号集团的杰作??
# R' |3 P8 C* _/ U2 i/ b首先来看一下“AV终结者”病毒
程序本身设计的传播功能——
程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒,如何能引起这样大规模的传播呢?仅仅靠病毒程序的自然衍生,显然不能做到这一点。那么,这个病毒极可能是人为操纵的结果。7 z+ N0 {- ]7 ]
1 Z8 F5 K& I. C! q; K6 E9 G4 ~
那么“AV终结者”病毒,最开始是通过什么途径入侵的呢?这个病毒后面是不是还隐藏着更多的迷?
) D# I4 p" u& e% u+ @
! c% [ m, P. l0 ~7 j* i6 B
在AV终结者之前,有两类病毒值得我们去关注,一是
“Risk.exploit.ani”病毒,是利用ANI
漏洞广泛挂马。
另一类,是利用ARP欺骗,劫持整个局域网会话,被劫持的局域网电脑用户访问任何网站都会同时从16.us站点(还有更多的下载站)
下载木马。
, V0 L$ R1 h* m6 }/ ^" j1 R
7 A& W3 B; J9 n) c/ W% \和熊猫烧香病毒案比起来,“AV终结者”表现得更加隐蔽,该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度,远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。
9 H3 P0 ?# d3 [$ [; p& ^. l
T+ w6 K# U1 Y' f6 r, d) ]第一阶段:传播“AV终结者”病毒
$ \( K. @& I- I/ K最快速有效的传播手法,是通过攻击企业公共服务器(通常是IDC机房托管的服务器),攻击成功后,直接在服务器上植入木马,再利用ANI漏洞迅速传播。不仅如此,攻击者还会在被攻陷的服务器上植入ARP攻击程序,成功将挂马成果扩大到整个机房。类似的手法,可以在攻入企业内部网后,发起ARP攻击行为,迅速让挂马现象在整个公司
网络中漫延。
% y5 d' Q$ N' p/ a6 ^" O+ B% R/ O0 ?
另一种作法更直接,直接把制作完成的“AV终结者”病毒通过U盘,在网吧等公共
上网场所人为传播。方法很简单,到目标机器上插一下U盘就办到了。
% f g) W; w# s0 x4 H) r( Z" g7 x( D
2 @; }# I! \2 e0 g第二阶段:“AV终结者”病毒活跃期
! k" S+ F0 `: E: E* a+ _/ j“AV终结者”病毒成功入侵后,几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持,关闭windows防火墙和Windows
自动更新。为防止用户通过安全模式清除病毒,病毒干脆修改系统配置,不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。
3 M% Q- \5 l3 I8 ~% Y( n' I
: y% l$ W8 Y& J' v: x第三阶段:木马活跃期
. a# x% d% l, n经过前一阶段的准备,“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后,病毒内置的下载器功能大显身手,数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上,这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况,要取决于木马控制者的喜好。
6 I7 \% I, \ j3 V) B$ `* [; ^
) P" P& e5 m' m2 `! @4 ~ n为何判断这是盗号集团在企业化公司化运作?
1 x+ a. {) [* e& o; e; S理由是,在上面“AV终结者”病毒发展的三个阶段中,任一阶段均使用了多种不同的病毒和攻击手段,病毒不再是单打独斗,而是发展到协同作战的程度。其复杂度体现在:传播阶段的手法多样性;入侵后对抗杀毒软件技术的复杂性;木马收获阶段,几乎面面俱到,无所不拿。综合这些特点,很难想像,一个人或者仅仅几个人如何去完成这种复杂的
任务。
' o% C9 j$ `- L( N6 b/ Z9 P4 N
6 q Q: h. @5 Q1 [: K+ S
谁在指挥这个复杂的利益链?
& g0 b' z' J/ N2 Q6 v3 k, V答案当然是受益者,“AV终结者”病毒会自动连接到一些服务器下载各种木马,这些服务器成为整个利益链条中的聚合器。那么,拥有或控制这些站点的人,应该是“AV终结者”病毒利益链中最直接的受益者。
: x8 N2 ^" k* R. R5 d
3 N, v$ v) b& g+ L$ Q) ^
我们分析了部分“AV终结得”病毒的下载站,发现变种不同,下载站也会有所区别。这里仅公布其中一个下载站的信息:
8 \2 {: N! D" A& X+ R
WHOIS Results for: 100000000000000000000000000000.cn
) ~7 L1 I, v9 {3 l; ~
Domain Name: 100000000000000000000000000000.cn
& j: l' l! X3 DROID: 20070314s10001s35110810-cn
$ \& @) X7 t; ?( c7 s2 A b+ r5 X
Domain Status: ok
, x4 \5 o V7 {" U% E* VRegistrant Organization: 蓝色精灵
; W: c6 r: |6 n: b8 t
Registrant Name: 蓝色精灵
) } _( u+ _$ @" T3 f
Administrative Email:
shenzhenkeji@hotmail.com1 ]; ~' ]( A* b
Sponsoring Registrar: 北京新网互联科技有限公司
5 v$ c; F u. I" ~Name Server:ns1.dns.com.cn
; N, `* n# }- W9 W7 L6 | v" SName Server:ns2.dns.com.cn
+ I( B8 y; W! L# p) S. E- s- V1 ]Registration Date: 2007-03-14 18:27
S# Z/ q" B. d% C
Expiration Date: 2008-03-14 18:27
& C. B* x# L, @6 g' Z2 T1 f, G9 g* K( l7 u
一个叫
蓝色精灵的组织在2007年3月14日使用
shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名,有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载,拥有这个站点或控制这个站点的人,有重大作案嫌疑。
: B" _6 j' O& D s B/ }2 p, k
+ z; z( ~( F0 V! X! E3 T熊猫烧香的作者李俊落网了,李俊肯定不会是唯一的,下一个会是谁呢?
