cnBeta.COM_警告!_ 原创投递:Modern Virus

原创投递:Modern Virus - 细数现代病毒新伎俩

ugmbbc发布于 2007-06-11 05:54:45| 次阅读字体：大小打印预览

感谢iamcj的投递
新闻来源:原创
最近一段时间，花了不少精力在对付形形色色的木马/病毒，昨天的这个帖子里面已经提到过了，arp欺骗只是最容易观察到的外部表现方式，因为这个以发作会影响周围n多人的网络使用。以前的病毒是什么样的，为什么说现在的木马/病毒很狡猾而难以对付，它们高于”道”的”魔”在哪里，这篇文章会试图做一些浅显和初步的分析。
很久很久以前（童话都是这样开头的），这个世界上没有木马，只有病毒，病毒们的作用也很单一，比如破坏可执行文件，比如不断产生垃圾侵占磁盘空间……在”赐予我力量吧”的呐喊声中，简陋的杀毒软件出现了，记得黑色星期五、米开朗基罗、在屏幕上乱跳的stone么，记得当年闻之色变的dirII 么，记得当年的scan、kill99、cpav以及msav么？呵呵，都是只能从化石博物馆里翻出来的东西了。当时的病毒代码都是极其固定的，所以杀毒软件们的使命很简单，对文件进行二进制匹配，符合，杀之，不符合，忽略之。

之后，出现了代码不完全固定的病毒，带有%%特征匹配的kv100也随之诞生了，印象最深刻就是每期的电脑报上有一个小窗口，里面是天书一般的病毒特征码（废话么，如果能看懂这个，你就是病毒了），只要自己输入到kv100里面，就可以”手动升级”了，呵呵，现在想想好像挺可笑的，但是在那个没有网络的时代，不可能有什么方便的在线更新手段，除了拷贝之外，这个也是挺有时代特征的方式啊。

进入win32时代，不管在国内还是国外，病毒和反病毒的斗争从来没有停止过，杀毒软件也是你方唱罢我登场，从诺顿到卡巴斯基，从nod32到小红伞，更不用说技术不怎么样但是炒作的无比疯狂的江民瑞星之流，给我们上演了无数的免费戏剧。

再后来，慢慢的开始发现，不管是什么杀毒软件，不管它的病毒库更新的如何及时，好像机器还是会蹦出乱七八糟的窗口，速度还是会越来越慢。于是我们开始铸造第二道堤坝，avg、卡卡、360……再配合原来的杀毒软件，嗯，世界似乎是开始清净下来了。

现在呢，木马/病毒又有了些什么花样？随便找一个今天碰到的，看看表现形式：

进程可以看到的有2-3个，不能看到的n个，互相监控，发现被关闭则自动再打开；
监控系统进程，发现是杀毒/杀木马/进程管理软件的直接关闭；
监控窗口标题和内容，发现访问关于自己的网页则直接关闭ie；
利用启动菜单、注册表、服务、驱动，多重方式启动时加载；
修改系统文件，在试图进入安全模式的时候蓝屏给你看；
利用Image File Execution Options，把所有的杀毒/杀木马/进程管理软件加入，使得它们无法启动；
自动搜索，在所有本地硬盘、移动存储器，建立自动运行，实现扩散传播；
病毒文件名随机产生，无法通过一定规则过滤；
其他的小伎俩还有很多，比如禁用进程管理器啊，修改txt/ini文件关联啊，不一而足。

看到这些，你有什么想法，呵呵，抛开对使用的影响，这样的简直是个艺术品啊，虽然大部分是批量生产出来的。尽管从理论上来说，上面的这些，都是有办法解决的，但是就算我自己来，也要经过一定时间的分析和折腾，才”有可能”搞定，那么，对于普通的使用者来说呢，大部分的使用者，可能选择重装会更快捷一些。我在猜测，如果再完善一下上面的步骤，病毒可以成为一个相对完美的防御体，那时候估计除了再启动一个干净的pe来修复，基本束手无策（我想到了几条，就不在这里列出来了，有兴趣的我们私下讨论）。

经常听到朋友抱怨：怎么有那么多没事做的人，整天做病毒呢？很简单，一个利字，在这些表现的背后，木马/病毒们，关注的是你的系统控制权，关注的是你的qq密码，关注的是你的网游密码，甚至你的证券交易密码和银行密码……在一个小小病毒的背后，是一整个相互勾结的利益共同体。

我们依靠杀毒软件，但是，病毒的制造者，也不是一个人……

http://www.iamcj.net/blog/2007/06/09/modern-virus/

顶一下

对本文中的事件或人物打分

-5
-4
-3
-2
-1
0

Currently.0.00/5
1
2
3
4
5

当前平均分: 打分后显示

-5-4-3-2-1012345

对本篇新闻报道的质量打分

Currently.0.00/5
-5
-4
-3
-2
-1
0
1
2
3
4
5

当前平均分: 0.0(0 次打分)

-5-4-3-2-1012345

现在评论本文

评论主题:

您的大名:

您的主页:

您的邮箱:

您的评论:

共 20 条评论，显示 19 条

第1楼 niglonic 发表于 2007-06-11 06:07:32: 卡巴 U 文明用语

kill就OK了~ 最近上CB都看不到很精彩的新闻了哦~~; 回复支持(0) 反对(2) 举报

第2楼 Mac 发表于 2007-06-11 07:20:27: 漏了一条非常烦人的。。感染所有exe文件

更发指的是删除所有exe doc甚至gho文件的。。; 回复支持(2) 反对(0) 举报

第3楼 匿名人士发表于 2007-06-11 08:37:26: u.s.b.kill默认也启动不了的，呵呵

删除doc的那个dockiller比较狠毒; 回复支持(0) 反对(0) 举报

第4楼 匿名人士发表于 2007-06-11 09:57:22: 你认为GUEST权限下病毒能做什么？除了想办法提权，就。。。; 回复支持(0) 反对(0) 举报

第5楼 匿名人士发表于 2007-06-11 11:16:24: 现在病毒的特征基本上就是流氓木马。

已经没有什么人会制造危害操作系统的病毒了（除了那些天才级的为了证明自己实力而不是为“利”的“文明用语”们。）

P文明用语 S验证码,发了N次了.; 回复支持(2) 反对(0) 举报

第6楼 匿名人士发表于 2007-06-11 15:02:13: 有没有能感染RAR等压缩后文件的病毒???; 回复支持(0) 反对(0) 举报

第7楼 匿名人士发表于 2007-06-11 15:16:14: 正好昨天晚上朋友电脑就遇到很文章里说得一样的病毒，卡巴斯基自动启动不了，手动也打不开，360也打不开，qqkav也打不开，安装其他杀毒软件过程中提示出错，进安全模式蓝屏，系统隐藏文件显示不了，注册表打不开，用winrar在各盘根目录下找到打开冰刃直接死机给你看……，懒得搞了，全盘格式化，重装……

验证码气死我了，老是显红叉! ! ! ! !; 回复支持(0) 反对(0) 举报

第8楼 匿名人士发表于 2007-06-11 17:33:21: 很怀念以前的病毒和杀毒软件。; 回复支持(0) 反对(0) 举报

第9楼 匿名人士发表于 2007-06-11 17:35:11: 引用匿名人士发表于2007-06-11 15:16:14的评论:
正好昨天晚上朋友电脑就遇到很文章里说得一样的病毒，卡巴斯基自动启动不了，手动也打不开，360也打不开，qqkav也打不开，安装其他杀毒软件过程中提示出错，进安全模式蓝屏，系统隐藏文件显示不了，注册表打不开，用winrar在各盘根目录下找到打开冰刃直接死机给你看……，懒得搞了，全盘格式化，重装…… 验证码气死我了，老是显红叉! ! ! ! !; 有些插件没安装完全，所以看不到验证码。; 回复支持(0) 反对(0) 举报

第10楼 匿名人士发表于 2007-06-11 20:05:04: 引用匿名人士发表于2007-06-11 17:35:11的评论:

引用匿名人士发表于2007-06-11 15:16:14的评论:
正好昨天晚上朋友电脑就遇到很文章里说得一样的病毒，卡巴斯基自动启动不了，手动也打不开，360也打不开，qqkav也打不开，安装其他杀毒软件过程中提示出错，进安全模式蓝屏，系统隐藏文件显示不了，注册表打不开，用winrar在各盘根目录下找到打开冰刃直接死机给你看……，懒得搞了，全盘格式化，重装…… 验证码气死我了，老是显红叉! ! ! ! !

有些插件没安装完全，所以看不到验证码。; 显示验证码还要安装插件？FireFox的？啥插件啊; 回复支持(0) 反对(0) 举报

第11楼 匿名人士发表于 2007-06-11 20:05:45: 引用匿名人士发表于2007-06-11 15:02:13的评论:
有没有能感染RAR等压缩后文件的病毒???; 早就有了; 回复支持(0) 反对(0) 举报

第12楼 匿名人士发表于 2007-06-11 20:06:23: 听说在FF下评论很难成功？; 回复支持(0) 反对(0) 举报

第13楼 匿名人士发表于 2007-06-11 21:14:22: 编写能感染rar中的文件的病毒是可能的，但是代价太高，而且如果碰到加密的也没办法，呵呵; 回复支持(0) 反对(0) 举报

第14楼 武器发表于 2007-06-11 21:49:49: 哈哈 "杀毒软件终结者" 病毒的清除方法

http://www.51itpro.com/article.asp?id=64; 回复支持(1) 反对(0) 举报

第15楼 匿名人士发表于 2007-06-12 00:37:42: 其实病毒都是杀毒公司雇人研制然后放出接着就有个什么XX公司开始打广告说俺们能杀!; 回复支持(1) 反对(0) 举报

第16楼 匿名人士发表于 2007-06-12 01:51:08: 名字起的这么大，内容却是扯七扯八的; 回复支持(0) 反对(0) 举报

第17楼 匿名人士发表于 2007-06-12 09:52:51: 老兄，你跟链接去看一下……标题不是我起的：）; 回复支持(0) 反对(0) 举报

第18楼 匿名人士发表于 2007-06-12 23:09:56: 引用匿名人士发表于2007-06-11 20:06:23的评论:
听说在FF下评论很难成功？; 貌似网速慢的时候无法刷新，无法递交评论

这次应该很容易的，试试看; 回复支持(0) 反对(0) 举报

第19楼 田田发表于 2007-10-17 15:25:44: 进程可以看到的有2-3个，不能看到的n个，互相监控，发现被关闭则自动再打开；

监控系统进程，发现是杀毒/杀木马/进程管理软件的直接关闭；

监控窗口标题和内容，发现访问关于自己的网页则直接关闭ie；

利用启动菜单、注册表、服务、驱动，多重方式启动时加载；修改系统文件，在试图进入安全模式的时候蓝屏给你看；利用Image File Execution Options，把所有的杀毒/杀木马/进程管理软件加入，使得它们无法启动；自动搜索，在所有本地硬盘、移动存储器，建立自动运行，实现扩散传播；病毒文件名随机产生，无法通过一定规则过滤；这些你说的情况就出现在我的电脑上面的，我最近一直在到处询问怎么解决，都没有一个明确的答复，今天有幸看到你的文章，感觉自己好象看到救星一样，能指点我一下吗？？谢谢! ! ! ! ! ! ! ! ! ! ! ! ! QQ157805663 邮箱：tangtiantt00@163.com; 回复支持(0) 反对(0) 举报

热门评论

暂无热门评论