十倍于熊猫烧香的磁碟机
专门入侵企业网络并能强行关闭多种杀毒软件的“磁碟机”病毒正在网络中传播.“磁碟机”病毒早在2007年就被截获,近期频繁变种,大有卷土重来之势.该病毒运行后,首先在被感染计算机的后台实时监控当前系统所运行的程序,一旦发现某些安全软件的程序正在运行,则强行将其关闭并退出,同时所有相关安全软件的升级程序和安装程序也将无法运行.此外,该病毒还会导致被感染计算机系统出现蓝屏,死机等现象,严重危害计算机的系统和数据安全.,“磁碟机”病毒及其变种已感染超过5万台电脑,被 感染的电脑分布在政府、企事业等众多单位和部门,同时也有大量的个人用户感染病毒.而“磁碟机”目前已经出现100余个变种,病毒感染和传播范围正在呈现蔓延之势.病毒造成的危害及损失十倍于“熊猫烧香”.对“磁碟机”和“熊猫烧香”病毒进行对比分析,从中可以看出“磁碟机”病毒为什么会被推为 “毒王”了.
一 、传播途径
“熊猫烧香”病毒有多种传播方式.通过U盘和感染网页文件挂马传播,通过局域网传播,通过攻破 一些大型网站,采用在正常网页上挂马的方式传播. “磁碟机”病毒利用“ARP病毒”在局域网中进行自 我传播,病毒通过访问一个恶意网址,下载并自动运行二十多个病毒,通过其中的ARP病毒,“磁碟机” 可以瞬间传遍整个网络内电脑.“磁碟机”也可以通过U盘和网页挂马传播,但目前尚没有发现病毒作者 通过攻破大型网站的方式挂马传播的案例,这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原 因,但如果一旦病毒作者通过这种方式大面积传播,后果将不堪设想.
二、反攻杀毒软件能力
“熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力,但不同的是,“熊猫烧香”只是通过发 送关闭消息的方式关闭杀毒软件,而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监 控,使杀毒软件的监控功能失效,然后再关闭杀毒软件并阻止杀毒软件升级,并屏蔽主流的杀毒软件网页 .这一点上,“磁碟机”远远超过了“熊猫烧香”病毒,导致一些主动防御功能不强的杀毒软件纷纷被关闭.
三、自我保护和隐藏能力
“熊猫烧香”采用的是进程保护,病毒首先生成一个系统服务程序来保护其进程不被关闭,只要清 除了病毒生成的系统服务,就可以轻松关闭其进程.而“磁碟机”在自我保护和隐藏技术上几乎无所不用 其极,通过十余种技术来达到自我保护的目的.
五 、病毒变种和自我更新速度
“熊猫烧香”由于技术上较“磁碟机”简单,加上源代码可能外泄,因此病毒变种较多,而”磁碟 机”由于病毒程序复杂,加上目前可以确定其源代码尚未泄露到互联网上,因此一周只出现两到三个变种 ,最多的时候达到了一天出现两个变种的速度,虽然相较于“熊猫烧香”在变种数量上稍逊一筹,但“磁 碟机”的在线升级更新速度之快令人咋舌.
六、病毒的破坏性
在破坏性上,“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件,导致系统运行 缓慢,不同的是,“磁碟机”在感染文件过程中对感染文件进行了加密存放,使得清除病毒难度更大.两 者都可以链接到恶意网页下载木马病毒,但在下载的木马病毒数量上,“磁碟机”远超过“熊猫烧香”, “磁碟机”能够下载二十余种木马病毒,“熊猫烧香”只能下载一个或几个木马.而“磁碟机”借助ARP 病毒给企业局域网用户带来了巨大的灾难性事故,由于“磁碟机”可以借助ARP方式瞬间感染所有局域网 内电脑,因此许多单位的工作因此中断,造成了不可估量的损失.
七、 病毒的表现形式
在表现形式上,“熊猫烧香”的表现十分明显,感染可执行文件生成“熊猫烧香”的图案,十分易 于判断.而“磁碟机”的感染则十分低调隐蔽.他千方百计隐藏自身的行踪,普通用户从表面看很难发现 有中毒的痕迹,很多用户中毒后尚不自知,除了感觉系统似乎变慢外无其它明显异常症状.而“磁碟机” 病毒也正是在这种刻意低调的伪装下,伺机窃取用户的隐私敏感信息,包括游戏帐号和网上银行、网上证 券交易等帐号密码,这比“熊猫烧香”明目张胆的打劫更可怕.
