綁定主頁病毒日感染上萬臺電腦 穿越二十年對抗主流殺軟

金山毒霸安全中心近日捕獲2012年首個技術(shù)型病毒“穿越者”，網(wǎng)民若中毒后瀏覽器主頁會被偷偷鎖定，且難以恢復(fù)。由于該病毒采用獨特的“穿越”技術(shù)，多數(shù)主流殺毒軟件均無法查殺，致使該病毒每天感染的電腦高達上萬臺。金山毒霸率先進行攔截查殺。

圖1 穿越者病毒鎖定瀏覽器主頁為www.c6789.com

感染穿越者病毒后，網(wǎng)民電腦的IE瀏覽器主頁就會被鎖定為某網(wǎng)址導(dǎo)航網(wǎng)站www.c6789.com，使用多種方法恢復(fù)主頁均告失敗。正是通過這種流氓綁定手段，病毒制作者通過導(dǎo)航、廣告等可獲取大量非法收益。

金山毒霸安全中心技術(shù)分析顯示，穿越者病毒雖然感染量很高，但使用的技術(shù)并非十分先進，反而非常“復(fù)古”，它使用20年前Windows 3.X時代的程序做外殼，也就是將32位病毒可執(zhí)行程序封裝在16位程序外殼中。而目前主流安全軟件的防御目標(biāo)是32位或64位可執(zhí)行程序，因此大批殺毒軟件無法對其進行查殺。

金山毒霸安全專家指出，由于穿越者病毒突破殺毒軟件的方法獨特，短期內(nèi)很可能有更多同類病毒嘗試利用相同的方法逃避查殺。金山毒霸已針對此類病毒的特點升級現(xiàn)有防御體系，目前已可完全攔截穿越者系列病毒。

通過分析穿越者病毒的傳播渠道發(fā)現(xiàn)，中毒網(wǎng)民往往瀏覽過某些成人網(wǎng)站，下載過所謂專用播放器如“午夜情色電影.exe”等。金山毒霸安全專家表示，類似網(wǎng)站提供的程序大多是掛羊頭賣狗肉，中毒概率極高，建議不要輕易從這些網(wǎng)站下載所謂的專用播放器。