“AV终结者”虽然破坏性很强,但仔细看看它好象并没有用到什么新技术,而是将制作病毒时常用的几种下三滥技术都使上了:IFEO“文件映像劫持”、双病毒进程互相守护、利用“自动播放”功能复活、故意劫持安全模式。而使用这么多招数的目的,就是让系统防御彻底瘫痪,方便病毒在后台下载木马窃取帐号。
此外,据业内人士分析,能在短期内实现病毒的广泛传播,病毒散布者大致利用了两种手法:该病毒自身具备通过U盘、移动硬盘等移动介质传播的能力,主谋们应该故意到过一些大学、大型网吧,用带毒U盘来散布病毒。此外根据受害者们的报告,主谋们还使用了比较常见的“挂马”手法,在服务器上植入木马,利用ANI漏洞侵袭企业内网和浏览该服务器上网站的电脑。
通过上述分析,我们可以确定写这个病毒的人绝对不是传统意义上炫耀编程技巧的“实力型黑客”,而是盯着受害者各种值钱的帐号来的“网络盗贼”。而且,他不是一个人在战斗。他的身边明显存在着一个人数众多的犯罪集团。想想“熊猫烧香”让它的主谋们买车买房的故事,“AV终结者”的主谋们为这一本万利的买卖不惜铤而走险也是可以理解的。
本次“AV终结者”一经蔓延很快出现了数百个变种,这更证明了它并非个人的游戏之作,而是成组织批量生产后倒卖牟利的结果。想想当年的“灰鸽子”,它的作者在自己散布病毒害人的同时还为出售病毒变种,将收入帐号的邮箱改成买家邮箱来共同牟利。此次“AV终结者”的数百个变种,也许正意味着它的作者已经找到了数百个居心不良的“黑客组织”共同危害社会。
2007年注定是中国反病毒业界不平凡的一年。病毒散布的动机已由以前单纯的炫耀编程水平发展到进行盗窃犯罪。要消灭这种靠病毒牟取经济利益、盗窃商业机密的新型犯罪,恐怕不仅仅是杀毒软件厂商们能解决的。为了社会的长治久安,相信有关部门能够像破获“熊猫烧香”案那样果断坚决,彻底打击这些隐藏很深的“黑客组织”。
TAG: av