近日,令广大电脑用户深受其害的“AV终结者”病毒破坏势头依旧很猛,波及用户数量已经多达10万。经过对近段时间“AV终结者”病毒传播特点以及危害程度的分析,金山毒霸反病毒专家戴光剑推测,在“AV终结者”病毒的背后极有可能隐藏着一个巨大的集团化运做链条,而链条的第一步就是人为纵毒。
金山毒霸反病毒专家戴光剑表示,“AV终结者”的种种表现以及传播和作案手段都显示出其背后集团化、企业化运作的痕迹。为此戴光剑作了一个比喻,他表示,“AV终结者”病毒就像一把钥匙,一把开启用户电脑安全之门的钥匙,将大量盗号木马、风险程度等通统放进来,致使用户的电脑内的重要私人信息、网络资产面临着严峻的威胁。
而这一过程并非是一个人能够操控的,整个传播和作案过程都是经过精心策划的。经过分析,“AV终结者”病毒主要通过两种渠道传播:移动存储设备以及攻击企业的服务器进而挂马。
“一个仅利用移动存储设备进行传播的病毒竟然波及范围如此之光,其最大的可能性就是人为放毒。”戴光剑分析指出。“病毒的幕后集团操纵或者买通了一部分人将写好的病毒程序拷贝到U盘或者移动硬盘上,然后到网吧等公共上网场所将这些移动存储设备插入电脑,而这些公共电脑的使用者就会在一无所知的情况下再通过移动存储设备将该病毒的传播范围进一步扩大。”
而在第二种传播渠道中,戴光剑分析认为,“病毒的幕后集团进行了很好的分工,一部分人负责攻击企业的服务器,攻击成功后另一部分人直接在服务器上配置利用ANI漏洞传播的病毒挂马,还有一部分人将这种挂马行为扩大到该服务器托管机房中的其他服务器上。”
完成了“放毒”工作后,“AV终结者”的目的很明确,就是将用户的系统彻底变成“聋哑人”,继而给一切的木马病毒打开大门,实施各种作案行为。
“AV终结者”先将用户的Windows防火墙、自动更新、杀毒软件等全部干掉,并使一切含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社区”、“杀毒”、“专杀”等敏感字符串的软件和进程以及与此有关的网站全部无法打开。接下来,“AV终结者”病毒就会在用户毫无觉察的情况下从一些网站下载数百种盗号木马、广告木马、风险程序......
戴光剑认为“AV终结者”病毒从传播到实施作案,任何一个阶段都采用了多种不同种类的病毒和攻击手段,任务的复杂度超过了以前出现的所有病毒。而它的过人之处还在于其高度的隐蔽性,大量普通用户即使感染了该病毒,也会豪无察觉,而虽然“AV终结者”病毒的泛滥与“熊猫烧香”如出一辙,但与“熊猫烧香”的作者李俊相比,“AV终结者”病毒作者更加小心谨慎,手法也更隐晦。
戴光剑表示,如果对“AV终结者”分析成立,从放毒到盗号等非法操作,整个过程都不会留下任何蛛丝马迹。而从病毒危害的过程可以看出,通过网络下载大量木马是该 病毒运做的重要一环,而这些木马的下载服务器是整个利益链条中的聚合器,拥有或控制这些站点的人就是直接或间接受益人。通过这些下载地址顺藤摸瓜,就有可能揪出幕后“黑老大”。
金山毒霸呼吁其他安全厂商联手加入到“反黑”行动中来。据此,金山毒霸全球反病毒应急处理中心已经掌握了“AV终结者”下载其他病毒的大部分下载站点,并将这些下载站点作为进一步行动的依据。同时金山毒霸将通过进一步的行动打击这些通过“AV终结者”下载的木马以及包括“灰鸽子”余孽等各种臭名昭著的木马。但同时金山毒霸相关负责人表示,由于木马立法缺失,相关行动存在一定的制肘。