“網(wǎng)友泡泡在論壇訴苦:下載U盤(pán)量產(chǎn)工具,運(yùn)行后發(fā)現(xiàn)根本不是量產(chǎn)工具,桌面IE圖標(biāo)打開(kāi)都是網(wǎng)址導(dǎo)航站,還被強(qiáng)行安裝多個(gè)互聯(lián)網(wǎng)軟件。”9月23日,金山毒霸攔截到此類(lèi)病毒,病毒的運(yùn)行方式如推倒多米諾骨牌,可繞過(guò)多款安全軟件,金山毒霸可以查殺。
網(wǎng)友泡泡下載的所謂“U盤(pán)量產(chǎn)工具”,實(shí)際為病毒作者拿正?;ヂ?lián)網(wǎng)軟件下載器修改,只將原程序下載正常軟件的目標(biāo)地址修改為病毒。金山毒霸工程師指出,可以被病毒作者改造的中國(guó)互聯(lián)網(wǎng)軟件下載器數(shù)以千計(jì),這類(lèi)工具將成為病毒傳播的新機(jī)會(huì)。
運(yùn)行這個(gè)被改造的軟件下載器之后,會(huì)下載一個(gè)msi的安裝包,內(nèi)有10多個(gè)可執(zhí)行程序,只有一個(gè)是病毒,其它文件均為正常程序。病毒作者用正常程序運(yùn)行后的一連串動(dòng)作來(lái)啟動(dòng)病毒。金山毒霸云安全中心監(jiān)測(cè)數(shù)據(jù)表明,該類(lèi)病毒的感染量每天超過(guò)數(shù)萬(wàn)臺(tái)。
圖1 樣本示例:msi文件(內(nèi)含10多個(gè)文件,只有install.bat是病毒)
金山安全專(zhuān)家指出,“這些動(dòng)作看起來(lái)就象推倒多米諾骨牌,正常程序已被眾多安全軟件加入可信任的白名單。結(jié)果就會(huì)導(dǎo)致病毒運(yùn)行時(shí)殺毒軟件不攔截,用戶的瀏覽器、桌面圖標(biāo)都被改寫(xiě)。
圖2 金山毒霸工程師解釋病毒作者推倒多米諾骨牌的流程
金山毒霸安全專(zhuān)家指出,在我們的電腦中,可以被病毒作者用來(lái)制作“多米諾骨牌”效應(yīng)的軟件可能非常多,有點(diǎn)防不勝防。這個(gè)病毒的利用特點(diǎn)值得安全廠商高度關(guān)注,在殺毒軟件中簡(jiǎn)單添加白名單也許并不明智,用戶需要反應(yīng)更敏捷的殺毒軟件。
這些病毒主要通過(guò)一些不常見(jiàn)的工具軟件、破解補(bǔ)丁、游戲外掛等軟件下載站來(lái)傳播,當(dāng)網(wǎng)民搜索一些不常見(jiàn)的軟件時(shí),應(yīng)盡量選擇華軍、天空這種審核較嚴(yán)的下載站,避免從不知名的網(wǎng)站下載,小網(wǎng)站傳播病毒的概率很高。