病毒巧推“多米諾骨牌” 金山毒霸率先查殺

“網(wǎng)友泡泡在論壇訴苦：下載U盤(pán)量產(chǎn)工具，運(yùn)行后發(fā)現(xiàn)根本不是量產(chǎn)工具，桌面IE圖標(biāo)打開(kāi)都是網(wǎng)址導(dǎo)航站，還被強(qiáng)行安裝多個(gè)互聯(lián)網(wǎng)軟件。”9月23日，金山毒霸攔截到此類(lèi)病毒，病毒的運(yùn)行方式如推倒多米諾骨牌，可繞過(guò)多款安全軟件，金山毒霸可以查殺。

網(wǎng)友泡泡下載的所謂“U盤(pán)量產(chǎn)工具”，實(shí)際為病毒作者拿正?；ヂ?lián)網(wǎng)軟件下載器修改，只將原程序下載正常軟件的目標(biāo)地址修改為病毒。金山毒霸工程師指出，可以被病毒作者改造的中國(guó)互聯(lián)網(wǎng)軟件下載器數(shù)以千計(jì)，這類(lèi)工具將成為病毒傳播的新機(jī)會(huì)。

運(yùn)行這個(gè)被改造的軟件下載器之后，會(huì)下載一個(gè)msi的安裝包，內(nèi)有10多個(gè)可執(zhí)行程序，只有一個(gè)是病毒，其它文件均為正常程序。病毒作者用正常程序運(yùn)行后的一連串動(dòng)作來(lái)啟動(dòng)病毒。金山毒霸云安全中心監(jiān)測(cè)數(shù)據(jù)表明，該類(lèi)病毒的感染量每天超過(guò)數(shù)萬(wàn)臺(tái)。

 

圖1 樣本示例：msi文件(內(nèi)含10多個(gè)文件，只有install.bat是病毒)

金山安全專(zhuān)家指出，“這些動(dòng)作看起來(lái)就象推倒多米諾骨牌，正常程序已被眾多安全軟件加入可信任的白名單。結(jié)果就會(huì)導(dǎo)致病毒運(yùn)行時(shí)殺毒軟件不攔截，用戶的瀏覽器、桌面圖標(biāo)都被改寫(xiě)。

 

圖2 金山毒霸工程師解釋病毒作者推倒多米諾骨牌的流程

金山毒霸安全專(zhuān)家指出，在我們的電腦中，可以被病毒作者用來(lái)制作“多米諾骨牌”效應(yīng)的軟件可能非常多，有點(diǎn)防不勝防。這個(gè)病毒的利用特點(diǎn)值得安全廠商高度關(guān)注，在殺毒軟件中簡(jiǎn)單添加白名單也許并不明智，用戶需要反應(yīng)更敏捷的殺毒軟件。

這些病毒主要通過(guò)一些不常見(jiàn)的工具軟件、破解補(bǔ)丁、游戲外掛等軟件下載站來(lái)傳播，當(dāng)網(wǎng)民搜索一些不常見(jiàn)的軟件時(shí)，應(yīng)盡量選擇華軍、天空這種審核較嚴(yán)的下載站，避免從不知名的網(wǎng)站下載，小網(wǎng)站傳播病毒的概率很高。