毒霸工程师应急处理突发病毒工作小记
作者:禹林 ,论坛ID:华南纸老虎
(本文根据毒霸反病毒工程师周末真实生活记录,如有雷同,绝对抄袭)
周六的早餐,腾飞是坐在自己卡位上吃的,一杯豆浆,两个菜包子。这是他连续第三周的周末在单位吃早餐。自从2月底磁碟机爆发以来,他和毒霸的其他反病毒工程师们就再没又清闲过。“快吃快吃,吃完把昨晚的那几个AUTO木马样本给我。”
经过各杀毒软件厂商近一个月的围追堵截后,磁碟机病毒事件已经平息下去,虚拟世界恢复了往日的平静,游戏玩家们又开始投入各网游的激烈战斗中。但对于毒霸的反病毒工程师们来说,他们却丝毫不敢放松警惕。
经过对AV终结者、机器狗、磁碟机等一系列“重量级”病毒,以及磁碟机“藏匿”后涌现出的新病毒的分析,腾飞和同事们发现,在磁碟机事件后,国内计算机的开机蓝屏、杀毒软件无法启动的案例依旧没有减少,而罪魁祸首是一批具有AUTO传播功能的下载器程序。可是大部分用户和一些安全厂商沉浸在“打败”磁碟机的喜悦中,仅仅将这些现象作为常规病毒来处理,全然没有意识到一个不同于磁碟机的“慢性病毒”已接过磁碟机的接力棒。
“真不知道做病毒的人还有完没完,刚送走磁碟机这么一个瘟神,又来了堆AUTO小鬼。”腾飞摇着头笑笑。他认为病毒作者之间是有直接联系的,最近连续的几个重量级病毒可能是病毒作者们向反病毒行业轮流发起的挑战,为的是削弱安全软件厂商们的意志。“下载器一个又一个,我们的时间全耗在上面了,平时回家就很晚,原本还指望着周末能和老婆去湾仔吃海鲜,结果还是得吃食堂。”
“要知足!要知足!食堂免费又好吃!结婚的男人耳朵太软了!”另外几个仍打着光棍的反病毒工程师故意嚷嚷着。
腾飞从压缩包里找出一个病毒,把它丢进OLLYDBG,几秒钟后病毒的二进制代码就全部显示了出来。“这段时间我们分析了不少病毒,从代码上就可以很明显的看出,这些病毒在一些关键技术上具有相似之处。”腾飞说。“关闭进程,解除安全软件的印象劫持,恢复SSDT表,主动防御功能就失效了,好几个病毒都是这么干。”
半个小时后,腾飞看完代码,“又是一个下载器,水牛的新变种,有点难对付,清理专家和毒霸搞不定,得做专杀。”他转过头,冲着身后一个卡位上喊了声,“Sakana!和你猜的一样,有活干啦!我写完分析报告就交给你。”
Sakana是腾飞的同事,担任毒霸反病毒工程师已经两年了,虽然看上去仍带着学生的稚气并且电脑上摆满了日式卡通模型,却已是病毒流行趋势分析和病毒专杀工具方面的专家。在磁碟机仍在肆虐时,他就已经开始担心会涌现出大批磁碟机的“弟子”,并且采用普通方法无法处理,果然应验了。
吃过午饭后,腾飞把一份完整的病毒分析报告发给了Sakana,这个速度在病毒分析工作哦中已经是比较快的速度,一些刚入门的病毒分析师,可能要用一整天。从分析报告上,可以一目了然地看出,这个版本的水牛已经不同于病毒作者以前那些自娱自乐式的版本,早先的版本,清理专家就可以将其清除干净,而这个版本却针对毒霸进行了猛烈的对抗,它通过搜索进程和窗口名称、查找编码、模拟用户指令、恢复SSDT表等方法,轻而易举地就把毒霸、清理专家,以及其它多家国内外知名厂商的产品干掉,即便是宣称自己拥有主动防御技术的一些厂商也不能幸免。当杀毒软件都被解决之后,“水牛”就下载大量盗号木马执行盗号。
“因为使用普通的技术暂时无法抵挡住病毒的进攻,那就需要使用专杀工具。”Sakana解释说,“专杀工具采用的是‘后发制人’的机制,它刻意避开病毒搜索的进程、窗口的字符串和编码,让病毒无法关闭它,然后针对病毒弱点发起反击。”
不过,专杀的制作也不是那么容易的,因为是紧急赶制,可能存在较多的BUG,为防止与系统冲突,需要经过多次调校。Sakana这次做的水牛专杀,从拿到分析报告到提交测试,一共花了10个小时,而腾飞这期间又分析了另外几个病毒。在修改了从测试打回来的三次蓝屏后,水牛专杀终于正式提交。
腾飞终于可以站起身子走动一下,这时已是凌晨1点,而他身边的其他同事,依然在代码中过滤着每一个可疑动作,今天一天,大家处理了5个最难啃的下载器。 “哈,今天算是又把时间耗掉了,看来我也是病毒的受害者。”腾飞给老婆打完电话,准备回家。“希望专杀能尽快放出去,很多电脑等着用,不能看着做病毒的人那么猖獗,早点把他们的气焰打下去,我们也就能早点轻松了。”
