病毒巧推“多米諾骨牌” 金山毒霸率先查殺

“網(wǎng)友泡泡在論壇訴苦：下載U盤量產(chǎn)工具，運(yùn)行后發(fā)現(xiàn)根本不是量產(chǎn)工具，桌面IE圖標(biāo)打開都是網(wǎng)址導(dǎo)航站，還被強(qiáng)行安裝多個互聯(lián)網(wǎng)軟件。”9月23日，金山毒霸攔截到此類病毒，病毒的運(yùn)行方式如推倒多米諾骨牌，可繞過多款安全軟件，金山毒霸可以查殺。

網(wǎng)友泡泡下載的所謂“U盤量產(chǎn)工具”，實(shí)際為病毒作者拿正?；ヂ?lián)網(wǎng)軟件下載器修改，只將原程序下載正常軟件的目標(biāo)地址修改為病毒。金山毒霸工程師指出，可以被病毒作者改造的中國互聯(lián)網(wǎng)軟件下載器數(shù)以千計(jì)，這類工具將成為病毒傳播的新機(jī)會。

運(yùn)行這個被改造的軟件下載器之后，會下載一個msi的安裝包，內(nèi)有10多個可執(zhí)行程序，只有一個是病毒，其它文件均為正常程序。病毒作者用正常程序運(yùn)行后的一連串動作來啟動病毒。金山毒霸云安全中心監(jiān)測數(shù)據(jù)表明，該類病毒的感染量每天超過數(shù)萬臺。

 

圖1 樣本示例：msi文件(內(nèi)含10多個文件，只有install.bat是病毒)

金山安全專家指出，“這些動作看起來就象推倒多米諾骨牌，正常程序已被眾多安全軟件加入可信任的白名單。結(jié)果就會導(dǎo)致病毒運(yùn)行時殺毒軟件不攔截，用戶的瀏覽器、桌面圖標(biāo)都被改寫。

 

圖2 金山毒霸工程師解釋病毒作者推倒多米諾骨牌的流程

金山毒霸安全專家指出，在我們的電腦中，可以被病毒作者用來制作“多米諾骨牌”效應(yīng)的軟件可能非常多，有點(diǎn)防不勝防。這個病毒的利用特點(diǎn)值得安全廠商高度關(guān)注，在殺毒軟件中簡單添加白名單也許并不明智，用戶需要反應(yīng)更敏捷的殺毒軟件。

這些病毒主要通過一些不常見的工具軟件、破解補(bǔ)丁、游戲外掛等軟件下載站來傳播，當(dāng)網(wǎng)民搜索一些不常見的軟件時，應(yīng)盡量選擇華軍、天空這種審核較嚴(yán)的下載站，避免從不知名的網(wǎng)站下載，小網(wǎng)站傳播病毒的概率很高。