AVG急速查殺Spyeye變種 免費(fèi)保護(hù)用戶(hù)

    泡泡網(wǎng)軟件頻道3月1日 近日，Spyeye及其變種持續(xù)發(fā)威，其生成工具也在黑市上高價(jià)流通，儼然已成為了一條最新的黑色產(chǎn)業(yè)鏈之路。這種行為嚴(yán)重威脅用戶(hù)的計(jì)算機(jī)安全，AVG中國(guó)實(shí)驗(yàn)室連續(xù)在國(guó)內(nèi)截獲這一系列病毒，同時(shí)對(duì)其派生的變種和新版病毒進(jìn)行準(zhǔn)確查殺。

    AVG官方介紹，Spyeye之所以如此被AVG重視，源于它的工作機(jī)制和覆蓋面。由于Spyeye的特殊工作方式，用戶(hù)計(jì)算機(jī)在第一時(shí)間被感染病毒后，會(huì)成為Spyeye僵尸網(wǎng)絡(luò)的一員，此時(shí)，電腦完全處于僵尸網(wǎng)絡(luò)制造者的控制之下，發(fā)送垃圾郵件，發(fā)起網(wǎng)絡(luò)攻擊，竊取用戶(hù)的敏感數(shù)據(jù)，下載其他惡意程序等等。而這一切，用戶(hù)往往毫不知情。截止2月底AVG中國(guó)實(shí)驗(yàn)室的數(shù)據(jù)顯示表明，曾經(jīng)被Spyeye感染的用戶(hù)計(jì)算機(jī)已經(jīng)達(dá)到了一個(gè)相當(dāng)龐大的數(shù)字，這是現(xiàn)階段一個(gè)非常流行的病毒，具有非常大的危害性。AVG認(rèn)為這是一項(xiàng)值得關(guān)注的事件，因此投入大量精力對(duì)該病毒進(jìn)行機(jī)理分析和查殺。

    病毒特征

    極強(qiáng)的獨(dú)立性：Spyeye會(huì)通過(guò)hook特定的Wininet API 來(lái)阻止其他的肉雞和主機(jī)通訊，如果在Spyeye的生成過(guò)程中如果有勾選“Kill zeus”的選項(xiàng)，則Spyeye將刪除其它的肉雞程序，做到“清除異己，一統(tǒng)天下”。

    更精明的隱蔽化處理：在和主機(jī)通訊的過(guò)程中，可能會(huì)造成大量的異常的流量，Spyeye為了避免被流量工具檢測(cè)，它會(huì)嚴(yán)格的監(jiān)測(cè)自己的運(yùn)行環(huán)境，一旦發(fā)現(xiàn)有流量監(jiān)控工具，則停止其與主機(jī)的通訊。

    Spyeye會(huì)監(jiān)視系統(tǒng)中是否存在如下的進(jìn)程（下文所列為部分使用率高的檢測(cè)工具）。

    Microsoft Network Monitor 3.3
    The Wireshark Network Analyzer
    SmartSniff
    CurrPorts
    TCPViewClass

    其次會(huì)檢測(cè)是否存在以下文件，與上一步的進(jìn)程檢測(cè)相互輔助，確定用戶(hù)計(jì)算機(jī)上的流量檢測(cè)系統(tǒng)。

    %Program Files%\\WinPcap\\rpcapd.exe（WinPcap驅(qū)動(dòng)程序，部分監(jiān)控工具基于此開(kāi)發(fā)）
    %Program Files%WireShark\\rawshark.exe（WireShark監(jiān)控程序）
    %Program Files%Ethereal\\ethereal.html（一款免費(fèi)的網(wǎng)絡(luò)協(xié)議檢測(cè)程序）
    %Program Files%Microsoft Network Monitor 3\\netmon.exe（微軟的Microsoft Network Monitor 主程序）

    該程序會(huì)判斷其第一塊硬盤(pán)是否為虛擬設(shè)備來(lái)檢測(cè)其是否運(yùn)行于虛擬機(jī)中，根據(jù)注冊(cè)表的返回值，如果“是”則退出。

    更“有趣”的運(yùn)行機(jī)制：Spyeye為了避免在注入代碼時(shí)出現(xiàn)不可預(yù)知的錯(cuò)誤而引起系統(tǒng)警告，而將其加入DEP (data execution prevention)的例外列表，因此我們可以通過(guò)以下注冊(cè)表我們可以找到該病毒的蹤跡。不得不說(shuō)，這個(gè)想法實(shí)在是太有意思了，但顯而易見(jiàn)的是，用戶(hù)們并不喜歡它隱藏的這么深。

    更精密的偽裝手段：為了逃避檢測(cè)以及獲取信任，Sypeye變種偽造了Avira的數(shù)字簽名，我們可以從數(shù)字簽名信息中看到，然而因?yàn)槭莻卧斓模赃@份證書(shū)是不受信任的。

    查殺情況

    目前AVG包含Anti-Virus Free Edition 2011（中文免費(fèi)版）在內(nèi)的多個(gè)殺毒軟件版本已經(jīng)可以成功的對(duì)該病毒進(jìn)行查殺。AVG中國(guó)實(shí)驗(yàn)室建議沒(méi)有安裝殺毒軟件的用戶(hù)可以在AVG官網(wǎng)http://www.avg.com/cn-zh/china-homepage下載AVG中文免費(fèi)版進(jìn)行計(jì)算機(jī)保護(hù)，以抵御Spyeye及其變種的攻擊。■

今日熱點(diǎn)推薦：

金山辦公推出在線(xiàn)文字編輯器“快寫(xiě)”    卡巴斯基高端殺軟PURE 9.1.0.124上線(xiàn)