NT狼狼

2008年3月27日，金山反病毒专家李铁军将进入赛迪网嘉宾聊天室，亲身为您讲解其与“磁碟机”病毒斗争的经历。

时　间：2008年3月27日 上午10:00-11:00
地　点：赛迪网聊天室
主持人：李磊
嘉　宾：金山反病毒专家　李铁军 进入聊天室 本次聊天话题：

1、请先介绍一下从最初到目前最新一版磁碟机病毒的特征。
2、目前暴发的磁碟机病毒，被众多杀毒厂商评为“新毒王”，我们想了解下磁碟机与其他病毒最大的区别在哪？
3、今年李铁军第一次发现这个病毒是在什么时候，请介绍下当时的情况。
4、与磁蝶机类似的还有去年的AV终结者、今年春节前后暴发的机器狗，这类病毒的出现是否代表了病毒制作的新趋势？
5、据我们所知，在磁碟机暴发之初，金山毒霸就在第一时间推出了专杀工具，那对于网上热议的“磁碟机暴发引真假主动防御杀毒软件走向分水岭”一说，毒霸的磁碟机专杀优势在哪？
6、如果说灰鸽子病毒引发了全民对病毒黑色产业链的关注，那么金山此时称磁碟机标志着黑色产业链进入第2次分工阶段，什么是“第2次分工”？有何依据？
7、我们注意到磁碟机作者以互联网运营思路做病毒，具体情况是怎么回事？
8、目前在各大厂商的围剿下，磁碟机病毒再没出现变种，磁碟机会不会就此销声匿迹？金山毒霸在剿灭磁碟机的战斗中最大的感慨是什么？

cylong

看看去!!

w1k2202

哇.....瞅瞅去

w1k2202

10点开始,,

如果没事,,一定去捧个场

meteormatt

引用:

原帖由 NT狼狼 于 2008-3-27 09:26 发表
2008年3月27日，金山反病毒专家李铁军将进入赛迪网嘉宾聊天室，亲身为您讲解其与“磁碟机”病毒斗争的经历。

时　间：2008年3月27日 上午10:00-11:00
地　点：赛迪网聊天室
主持人：李磊
嘉　宾：金山反病毒专 ...

哦，现在可以对付了吧
等着晚上看视频好了

[ 本帖最后由 meteormatt 于 2008-3-27 09:56 编辑 ]

怀古

好活动！

沐浴平凡

反病毒专家---不如叫金山毒霸工程师。

NT狼狼

李磊: 各位网友大家好！欢迎大家再次来到赛迪聊天室，我们还是请到了著名的反病毒专家李铁军跟我们谈一下磁碟机病毒，首先请李铁军给大家介绍一下从磁碟机最初的版本到现在的版本特征是什么？
李铁军: 磁碟机出现的比较早，大家谁也没有注意它，因为这个病毒出来的时候就是一个简单的木马，它的程序设计有一些缺陷出现死机，当时的影响面也不大，各公司没有特别的关注。
李磊: 我记得去年说发现这个病毒，当时说这个病毒也不是很完善。它目前引起大家注意的是哪个版本呢？
李铁军: 进化了差不多有半年多的时间，那个时候它的光芒已经被AV总结者病毒掩盖了，磁碟机从这些木马下载器里得到了启发，吸收了AV总结者病毒的特点。
李磊: 从熊猫烧香开始，之后初期的机器狗或者磁碟机他们都是在互相学习，再加以发展。
李铁军: 没错，就是这样，他们最终的目的都是为了盗号，木马盗号有一个特点，木马是不太容易接受传播的，如果能够给木马加上让它能够自动的传播的功能，那就可以获取更大的利益。
李磊: 现在这些病毒不知道叫木马好还是叫病毒好？
李铁军: 我觉得可以把木马下载器单独列出来。我们公司发布的病毒新闻播报，几乎每一期都有木马下载器。
李磊: 现在不管是杀毒厂商还是用户，对于磁碟机本身都深恶痛绝，大家觉得作为目前的毒王还是当之无愧的，那么磁碟机和木马有什么区别？
李铁军: 它不会直接的完成盗号任务，它做的只有一件事情就是把这些木马下载过来，这些是木马群，新的老的都有，并且我们仔细分析过，前几期病毒列表有很多是2005年以前的。那么老的病毒能出现是因为磁碟机病毒具备一个特点，它要把杀毒软件的防御功能彻底破坏掉，这时候随便一个木马过来就可以造成系统瘫痪。我们有病毒疫情统计系统，用户感染病毒以后扫描的结果会汇报到我们的机器上。
李磊: 这是每天统计一次还是？
李铁军: 是用户扫描发现病毒就会被服务器收集起来，只要他上网我们就知道。这个统计系统对评估当前流行的病毒是哪些我们应该采取什么样的措施非常有价值。
李磊: 这个系统对于用户来说只要安上金山的软件就会自动上报还是只要点击？
李磊: 只要扫描就可以。
李磊: 回到磁碟机这个话题上来，我记得今年上半年我看过铁军写过这篇文章，与磁碟机病毒的斗争，请问你当时是怎么发现这个病毒并与之进行艰苦斗争的？
李铁军: 这是很偶然的，在我之前有很我朋友包括网友和客服中心的同事都遇到过这种病毒，很人多跟我聊天的时候告诉我，让我关注一下磁碟机病毒，当时我们觉得这种病毒应该不会引起传播，因为它感染之后系统就坏了。他又告诉我说要留意一下叫磁碟机的病毒，这个东西现在越来越多了。很偶然我们聊天上网的时候就有朋友中了，他只是发现号被盗了，这时候我们远程连接他的桌面，连过去之后发现他所有的安全软件都已经不能用了，这时候仔细去观察，因为他的系统基本正常，只不过机器上的任务管理器检查系统的程序不灵了。比如一些相应的安全软件一执行发现这些工具就很快删除了。我们当时花了比较长的时间用另外一个工具，好在这个工具没有被他杀掉，是一个比较不错的进程管理器，这个管理器功能比较复杂，一般的用户不太会使用，可以找到病毒运行的限程手动删除。
李铁军: 我们发现这个工具能够攻击的病毒还是比较少的。
李磊: 当时你注意到这个病毒之后发现是比较好清除的吗？
李铁军: 非常不好清除，普通用户遇到这个病毒之后基本上没有办法，只有一个选择就是重装系统。最早的时候它有一个版本感染除了C盘以外的其他可执行的系统，后来都感染了。
李磊: 咱们的专杀更新非常快，甚至连专杀工具都快变成一个小型的杀毒软件了。
李铁军: 因为只是删除病毒本身用户很容易再中毒，所以我们是想把这个事情做的彻底一点。
李磊: 以后所有的病毒会不像磁碟机一样看齐，以后专杀越来越难了。
李铁军: 最近有朋友给我们提供了大谁牛下载者生存器，他的产品界面上就可以看到可以让木马下载器具备几乎所有的功能都是针对主动防御的，可以用印象劫持技术破坏杀毒软件，还可以删除杀毒软件，还可以感染文件，指定到某一个病毒下载更新病毒库，他们下载指定的程序，这些程序大部分是下载列表，通过列表完成任务。本身磁碟机自己也会完成更新，他可以更新其他的木马也可以更新自己的。磁碟机下载器只是其中这个产业链中这些人最疯狂的一类人。这和蠕虫病毒不同，蠕虫病毒的传播是不可控的，只要放出去就在互联网中自生自灭了，但磁碟机这类下载器不让它传播很简单，它自己能够下载更新，就把服务器停了停止更新就行了，但是蠕虫病毒就没办法了，这些做下载器的人想什么时候传播，下载多大的范围都是自己可以控制的。磁碟机木马下载器它突然停止传播了，我估计分析他的心里有可能有几方面，一个是各安全厂商对他的压力还是比较大的，因为各家都觉得这是一个难对付的病毒，它的影响也比较大，各家都在报相关东西的时候我相信相关的管理部门也在进行这方面的工作。他可能觉得再继续这样做下去可能跟去年熊猫烧香作者一样的下场，所以他可以暂时避避风头。所以我觉得控制磁碟机病毒这个人是一个很疯狂的一个组织。
李磊: 比如更新速度太快了。
李铁军: 原来是两天一个版本，后来是一天一个版本，他除了做这个之外还要更新木马，我想不是一个人两个人可以做的。还有那么多传播的途径，做那么多木马卖出去，这应该是一个组织做的。
李磊: 大水牛下载生成器印象特别深刻的是留下了自己的联系方式？
李铁军: 这些下载器都有自己的联系方式，比如想买某个东西可以加某个QQ。这些人通常不会做自己的网站，一般就是比较密密的QQ群点对点的传播，想加入他们的组织是比较困难的，这是QQ站点经常交流的人熟了他们在做这样的一些交易。
李铁军: 我之前看过一些消息说曾经有人招聘这种病毒程序员月薪好像10万。
李铁军: 是月薪10万。
李磊: 难道他不担心出于为安全界的考虑作为潜伏者特意打入他们的内部吗？
李铁军: 目前在国家许多一定的法律规范，没有采取一定制约的话他们不会有顾虑，不然不会在一定的论坛上去公开讨论，比如在CSDN程序员论坛公开发表。
李磊: 去年的AV终结者到今年春节爆发的机器狗，这类病毒的出现是否代表了病毒制作新的趋势。木马下载器虽然带木马两个字，但是它相当于一个中间者，负责把系统的安全措施破坏掉，打通通道。
李铁军: 工作原理上看是这样的，只不过不完全盗号，和其他的木马有分工。
李磊: 给木马产业链细分了。
李铁军: 对，中间有专门做下载器的，有专门盗号的。比如捉盗一个游戏帐号，拿到帐号之后发现有很多装备，这些装备可以换，如果人工操作会比较慢，他们有人专门开发这种工具，一瞬间拿到这种帐号的时候你上面所有的东西都没了。

viphjw

进去了,出来了,呼呼

NT狼狼

李磊: 磁碟机刚爆发的时候金山最早推出了专杀工具，咱们这个专杀工具有什么独道的优势呢？
李铁军: 我们做是不仅仅把这个杀掉，还帮助用户修复系统，比如中毒了以后，他知道很多人会考虑到安全模式，就让你的系统进不了安全模式，这样类似系统的修改就需要工具提供一些修复功能。
李磊: 磁碟机病毒在新版本里已经破坏了安全模式进入，同时正常系统下也会时时监控这些安全软件，那么彻底清除在什么状态下是最好的呢？
李铁军: 这是总在变化的，他在升级，杀毒软件也在更新，这些工具也在更新。我们采取了很多办法，我们发现新的变种的话，运行杀毒工具，那么它就会删除，我们尽量要做保护这些工具不被删除。 我昨天还有朋友中了类似这样的病毒，我给他传了最新版本的磁碟机专杀，放他电脑上还没有执行马上删除了。我们在AV终结者机器狗病毒流行的时候，AV总结者有一种变种就是类似于杀毒软件，它加了杀毒软件的特征码，就开始把杀毒软件干掉。它的目标是越来越明确了，而且下载器里相互嵌套，相互支持，一个下载器带着另外一个下载器，这些下载器是相互之间的传播。中了这种磁碟机就会发现这个系统里面各种各样五花八门都有，想偷什么的都有。我觉得我们用户应该注意这点，专杀工具不太可能把这些所有的东西一次搞定。我们只能分磁碟机这几种，剩下的扫尾的工具还需要其他的专杀工具。
李磊: 我们机器出现异常状况的时候首先用杀毒软件，如果还没有清除搜相关的专杀工具。
李铁军: 这些下载者清除真的很困难，需要花很长时间，真的要防御这些病毒超级简单。我们用户很多地方是忽略了防御，不断的中毒，用了我们的工具，用了我们的方案不管用，没过多长时间又中了，我们建议用户还是多考虑一些综合的防范措施，比如说你重装完系统以后该怎么办，用什么样的系统把你的防御能力提升上去，平常使用U盘等是不是很随意，你上网的时候不是随便上一个网站，随便下一个东西，这些都会给你的系统带来很多风险。这种状态下安全软件起的作用是比较有限的，不可能所有的措施它都能防得住，因为病毒和反病毒总是一个动态的过程，你出什么招他总是能够绕过去这个关卡最终总会有用户被这个病毒给击倒。防御措施是通用的，比较简单，也很容易实现，我们用户应该多考虑防御。要有很好的用电脑的习惯，对安全都比较重视，脑子里时刻想着上网什么时候有风险，头脑里有安全意识的话中招的可能性就会降低。
李磊: 我听你说的感觉是似乎现在所有的盗号木马下载器联合在一起形成了一个比较松散的范围比较小的组织，今后可能发展成所有的联合在一起？
李铁军: 他们一般都是小型的工作室，毕竟干的是一些不合法的事情，还会有所顾忌。他们之间可能是在一些圈子里有一些代码和经验的交流，但是真的联合起来对付安全软件系统和对付用户可能性不是太大。
李磊: 他们这种程序员之间存在私下的技术交流的圈子？
李铁军: 这种可能性很大。我们从病毒攻击的特性越来越像，相互的融合各产品之间都会取长补短，各自有优势的地方相互吸收，这些病毒的源码在某些论坛上是可以找到这些病毒的源码的。
李磊: 现在磁碟机目前已经是第几个版本了？
李铁军: 我们统计到的有100多个版本。
李磊: 都是同一个作者写出来的吗？
李铁军: 没有做代码关联性的分析。
李磊: 今年最厉害的这几个版本磁碟机都是出资同一个人之手吗？
李铁军: 这个是，因为来自同一个下载概念。今年爆发最厉害的应该是同一个组织做的。
李磊: 我记得金山那边提到过灰色产业链进入了第二次分工阶段，什么是第二次分工呢？
李铁军: 我们分析他们的行为跟以前的木马有不同的地方，以前的是小范围传播，现在第二次分工有下载器进行分发，下载器人为的分发和扩大传播，这种状态下可以在比较短的时间内面向特定的人群定向投放。 我们前天拿到大水牛下载器后发现有两点，一个是作者看他自己的能力有多强，还有一方面有可能商业营销考虑，统计的结果就是一个运营的概念。
李磊: 磁碟机和机器狗各有什么特点？
李铁军: 磁碟机用的是发送消息，机器狗是针对还原卡，机器狗可以让还原卡失效。
网友: 据我所知木马下载器版本基本一致，请问是否邮件简便的方法删除？
李铁军: 杀毒软件如果不能识别的话通常很难清除的。在已经中毒的情况下防御的措施是有效的，只能采取一些其他的方式，比如配合使用虚拟专家协调诊断功能，让可疑的有危险的病毒找出来。
李磊: 目前来看磁碟机可以称为毒王吗？
李铁军: 说它是08年的毒王还不到时候。
李磊: 说不定有比它更加优秀的？
李铁军: 我觉得这种下载器还有可能越来越猖獗。
李磊: 跟去年熊猫烧香比起来它们两个最大区别是什么，哪个杀伤力更强？
李铁军: 当然磁碟机更强。熊猫烧香各种传播的功能。
李磊: 熊猫烧香让大家看到了更多的传播路径。在07年找到了更多的保存自身的方法。
李铁军: 攻击安全软件的方法和越过系统防御的方法。
李磊: 我感觉从06年开始，07年、08年现在病毒发展真是飞跃式的。
李铁军: 07年之前病毒木马特点就是不停的加壳，加密，这些东西被杀毒软件公司很快的破解掉了，杀毒软件破壳能力越来越强，他们又找到磁碟机这种技术把杀毒软件一次性干翻了。
李磊: 有时候恰恰由于安全厂商变相的压力，变相鼓励着他们发现新的传播手段。
李铁军: 安全软件越来越成熟，功能越来越强，他想传播必须突破安全软件这个口。