论坛中有关“AV终结者”病毒的咨询,仍然在继续增长,原来我还以为这个病毒中了之后,用户会很快发现杀毒软件工作异常,然后就会想办法去处理掉这个病毒,病毒的隐蔽性就不会太强。但事实不是这样的,多数用户对杀毒软件不能正常工作并不觉得有异常。因为,此时系统的其它功能基本不受影响,病毒也不会影响系统性能或影响网速。以致于已经中毒的系统还可以申请远程协助,以完成手工杀毒操作。
我在思考另一个问题——“AV终结者”病毒,是否和“熊猫烧香”一样,是盗号集团的杰作??
首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒,如何能引起这样大规模的传播呢?仅仅靠病毒程序的自然衍生,显然不能做到这一点。那么,这个病毒极可能是人为操纵的结果。
那么“AV终结者”病毒,最开始是通过什么途径入侵的呢?这个病毒后面是不是还隐藏着更多的迷?
在AV终结者之前,有两类病毒值得我们去关注,一是“Risk.exploit.ani”病毒,是利用ANI漏洞广泛挂马。另一类,是利用ARP欺骗,劫持整个局域网会话,被劫持的局域网电脑用户访问任何网站都会同时从16.us站点(还有更多的下载站)下载木马。
和熊猫烧香病毒案比起来,“AV终结者”表现得更加隐蔽,该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度,远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。
第一阶段:传播“AV终结者”病毒
最快速有效的传播手法,是通过攻击企业公共服务器(通常是IDC机房托管的服务器),攻击成功后,直接在服务器上植入木马,再利用ANI漏洞迅速传播。不仅如此,攻击者还会在被攻陷的服务器上植入ARP攻击程序,成功将挂马成果扩大到整个机房。类似的手法,可以在攻入企业内部网后,发起ARP攻击行为,迅速让挂马现象在整个公司网络中漫延。
另一种作法更直接,直接把制作完成的“AV终结者”病毒通过U盘,在网吧等公共上网场所人为传播。方法很简单,到目标机器上插一下U盘就办到了。
第二阶段:“AV终结者”病毒活跃期
“AV终结者”病毒成功入侵后,几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持,关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒,病毒干脆修改系统配置,不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。
第三阶段:木马活跃期
经过前一阶段的准备,“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后,病毒内置的下载器功能大显身手,数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上,这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况,要取决于木马控制者的喜好。