Modern virus

最近一段时间,花了不少精力在对付形形色色的木马/病毒,昨天的这个帖子里面已经提到过了,arp欺骗只是最容易观察到的外部表现方式,因为这个以发作会影响周围n多人的网络使用。以前的病毒是什么样的,为什么说现在的木马/病毒很狡猾而难以对付,它们高于”道”的”魔”在哪里,这篇文章会试图做一些浅显和初步的分析。

很久很久以前(童话都是这样开头的),这个世界上没有木马,只有病毒,病毒们的作用也很单一,比如破坏可执行文件,比如不断产生垃圾侵占磁盘空间……在”赐予我力量吧”的呐喊声中,简陋的杀毒软件出现了,记得黑色星期五、米开朗基罗、在屏幕上乱跳的stone么,记得当年闻之色变的dirII么,记得当年的scan、kill99、cpav以及msav么?呵呵,都是只能从化石博物馆里翻出来的东西了。当时的病毒代码都是极其固定的,所以杀毒软件们的使命很简单,对文件进行二进制匹配,符合,杀之,不符合,忽略之。

之后,出现了代码不完全固定的病毒,带有%%特征匹配的kv100也随之诞生了,印象最深刻就是每期的电脑报上有一个小窗口,里面是天书一般的病毒特征码(废话么,如果能看懂这个,你就是病毒了),只要自己输入到kv100里面,就可以”手动升级”了,呵呵,现在想想好像挺可笑的,但是在那个没有网络的时代,不可能有什么方便的在线更新手段,除了拷贝之外,这个也是挺有时代特征的方式啊。

进入win32时代,不管在国内还是国外,病毒和反病毒的斗争从来没有停止过,杀毒软件也是你方唱罢我登场,从诺顿到卡巴斯基,从nod32到小红伞,更不用说技术不怎么样但是炒作的无比疯狂的江民瑞星之流,给我们上演了无数的免费戏剧。

再后来,慢慢的开始发现,不管是什么杀毒软件,不管它的病毒库更新的如何及时,好像机器还是会蹦出乱七八糟的窗口,速度还是会越来越慢。于是我们开始铸造第二道堤坝,avg、卡卡、360……再配合原来的杀毒软件,嗯,世界似乎是开始清净下来了。

现在呢,木马/病毒又有了些什么花样?随便找一个今天碰到的,看看表现形式:

  1. 进程可以看到的有2-3个,不能看到的n个,互相监控,发现被关闭则自动再打开;
  2. 监控系统进程,发现是杀毒/杀木马/进程管理软件的直接关闭;
  3. 监控窗口标题和内容,发现访问关于自己的网页则直接关闭ie;
  4. 利用启动菜单、注册表、服务、驱动,多重方式启动时加载;
  5. 修改系统文件,在试图进入安全模式的时候蓝屏给你看;
  6. 利用Image File Execution Options,把所有的杀毒/杀木马/进程管理软件加入,使得它们无法启动;
  7. 自动搜索,在所有本地硬盘、移动存储器,建立自动运行,实现扩散传播;
  8. 病毒文件名随机产生,无法通过一定规则过滤;
  9. 其他的小伎俩还有很多,比如禁用进程管理器啊,修改txt/ini文件关联啊,不一而足。

看到这些,你有什么想法,呵呵,抛开对使用的影响,这样的简直是个艺术品啊,虽然大部分是批量生产出来的。尽管从理论上来说,上面的这些,都是有办法解决的,但是就算我自己来,也要经过一定时间的分析和折腾,才”有可能”搞定,那么,对于普通的使用者来说呢,大部分的使用者,可能选择重装会更快捷一些。我在猜测,如果再完善一下上面的步骤,病毒可以成为一个相对完美的防御体,那时候估计除了再启动一个干净的pe来修复,基本束手无策(我想到了几条,就不在这里列出来了,有兴趣的我们私下讨论)。

经常听到朋友抱怨:怎么有那么多没事做的人,整天做病毒呢?很简单,一个利字,在这些表现的背后,木马/病毒们,关注的是你的系统控制权,关注的是你的qq密码,关注的是你的网游密码,甚至你的证券交易密码和银行密码……在一个小小病毒的背后,是一整个相互勾结的利益共同体。

我们依靠杀毒软件,但是,病毒的制造者,也不是一个人……


——
·本文由 iamcj 原创,采用“CC创作共用”方式共享
6月 9, 2007 | Filed Under Computer 

Comments

14 Responses to “Modern virus”

  1. dvaknheo Windows XP Internet Explorer 6.0 on 6月 9th, 2007 0:46

    进程可以看到的有2-3个,不能看到的n个,互相监控,发现被关闭则自动再打开;
    //icesword
    监控系统进程,发现是杀毒/杀木马/进程管理软件的直接关闭;
    //icesword
    监控窗口标题和内容,发现访问关于自己的网页则直接关闭ie;
    //icesword ,做前面的准备后
    利用启动菜单、注册表、服务、驱动,多重方式启动时加载;
    //icesword 后一个又要看天书了,最后一个需要改注册表
    修改系统文件,在试图进入安全模式的时候蓝屏给你看;
    //无解
    利用Image File Execution Options,把所有的杀毒/杀木马/进程管理软件加入,使
    得它们无法启动;
    // icesword 注册表
    自动搜索,在所有本地硬盘、移动存储器,建立自动运行,实现扩散传播;
    //禁止使用自动运行,不过微软还是留了 Bug
    病毒文件名随机产生,无法通过一定规则过滤;
    //比用社会工程学造的类似系统的文件名容易
    其他的小伎俩还有很多,比如禁用进程管理器啊,修改txt/ini文件关联啊,不一而足。
    // 一不小心前面的杀毒就白费功夫

  2. iamcj Windows XP Internet Explorer 6.0 on 6月 9th, 2007 0:58

    嘿嘿,谢谢dvaknheo补充,对于会的人,办法是很多的,但是如果是只会点hao123的老人呢……

  3. xuxu SonyEricsson K610c Netfront 3.3 on 6月 9th, 2007 1:08

    我算不算老人~呵呵

  4. xuxu SonyEricsson K610c Netfront 3.3 on 6月 9th, 2007 1:09

    我的沙发啊~哭~

  5. iamcj Windows XP Internet Explorer 6.0 on 6月 9th, 2007 1:33

    你算小朋友,哈哈。其实到了要动用icesword的地步,我估计99%的人已经没办法自己解决了

  6. 崔衍渠 Windows XP Internet Explorer 6.0 on 6月 10th, 2007 18:20

    写的很好。。
    让我想起了以前拿着一张KV300光盘到处杀毒的日子。。。

  7. 崔衍渠 Windows XP Internet Explorer 6.0 on 6月 10th, 2007 18:21

    汗。。。
    楼上应为 软盘。。。

  8. iamcj Windows XP Internet Explorer 6.0 on 6月 10th, 2007 19:10

    呵呵,多谢楼上专家回访:)
    我怀念拿着电脑报输入kv100代码的日子,怀念新版本kill查出无数dirII的日子,怀念微软买来的那个残废msav杀不掉任何东西的日子……

  9. iamcj Windows XP Internet Explorer 6.0 on 6月 10th, 2007 19:11

    再,看到链接做好了,呵呵,多谢!

  10. Zhlsk's Blog.找不着北 WordPress 2.2 on 6月 11th, 2007 21:23

    iamcj:Modern Virus - 细数现代病毒新伎俩…

     作者:iamcj
    最近一段时间,花了不少精力在对付形形色色的木马/病毒,昨天的这个帖子里面已经提到过了,arp欺骗只是最容易观察到的外部表现方式,因为这个以发作会影响周围n多人的网…..

  11. iamcj Windows XP Internet Explorer 6.0 on 6月 11th, 2007 21:29

    也不是pingback啊,为啥你那边转载会这样,哈哈

  12. itrose Windows XP Internet Explorer 6.0 on 6月 14th, 2007 20:15

    落雪的自我保护方法你没有列出,非常有创意。注册表里可以用来启动病毒的地方太多了,头疼啊。

  13. iamcj Windows XP Internet Explorer 6.0 on 6月 14th, 2007 20:18

    itrose 在 2007-06-14 20:15 时说:

    落雪的自我保护方法你没有列出,非常有创意。注册表里可以用来启动病毒的地方太多了,头疼啊。

    呵呵,是还有不少巧思妙想,欢迎大家补充:)

  14. 匿名 Windows XP Internet Explorer 6.0 on 1月 27th, 2008 14:49

    有头脑

Leave a Reply