磁碟機與熊貓燒香病毒大比拼

　　“磁碟機”病毒近日在互聯網引起軒然大波，由於病毒嚴重侵害了眾多企業和個人用戶電腦系統，引起了全國電腦用戶的一致聲討。隨著國內老牌反病毒廠商江民科技率先舉起“全國追殺磁碟機”的旗幟，越來越多的殺毒廠商加入到了剿殺“磁碟機”的行列，打響了又一場反病毒大戰。

　　去年的“熊貓燒香”病毒大戰人們記憶猶新，因為病毒在電腦裡面生成了很多舉著三柱香的熊貓圖案，一度引起全國電腦用戶的議論和恐慌。然而，“磁碟機”病毒似乎並沒有“熊貓燒香”那麼火爆，但是許多反病毒專家都一致認為“磁碟機”危害十倍於“熊貓燒香”，這是為什麼呢？

　　江民科技反病毒專家何公道近日對“磁碟機”和“熊貓燒香”病毒進行了對比分析，從中可以看出“磁碟機”病毒為什麼會被推為“毒王”了。

　　一 、傳播途徑

　　“熊貓燒香”病毒有多種傳播方式。通過U盤和感染網頁文件掛馬傳播，通過局域網傳播，通過攻破一些大型網站，采用在正常網頁上掛馬的方式傳播。 “磁碟機”病毒利用“ARP病毒”在局域網中進行自我傳播，病毒通過訪問一個惡意網址，下載並自動運行二十多個病毒，通過其中的ARP病毒，“磁碟機”可以瞬間傳遍整個網絡內電腦，局域網內電腦通過FTTP方式在網上下載任何EXE或RAR文件，都會變成“磁碟機”病毒。“磁碟機”也可以通過U盤和網頁掛馬傳播，但目前尚沒有發現病毒作者通過攻破大型網站的方式掛馬傳播的案例，這也是目前“磁碟機”在傳播范圍上尚不及“熊貓燒香”的原因，但如果一旦病毒作者通過這種方式大面積傳播，後果將不堪設想。

　　二、反攻殺毒軟件能力

　　“熊貓燒香”和“磁碟機”病毒都有反攻殺毒軟件的能力，但不同的是，“熊貓燒香”只是通過發送關閉消息的方式關閉殺毒軟件，而“磁碟機”則通過生成一個內核權限的驅動程序來破壞殺毒軟件的監控，使殺毒軟件的監控功能失效，然後再關閉殺毒軟件並阻止殺毒軟件升級，並屏蔽主流的殺毒軟件網頁。這一點上，“磁碟機”遠遠超過了“熊貓燒香”病毒，導致一些主動防御功能不強的殺毒軟件紛紛被關閉，目前，“磁碟機”能夠關閉除江民殺毒軟件KV2008最新版本之外的大部分主流殺毒軟件，這也是為什麼眾多企業在遇到“磁碟機”病毒時，整個局域網內幾乎無一台電腦幸免病毒之災的原因。

　　三、自我保護和隱藏能力

　　“熊貓燒香”采用的是進程保護，病毒首先生成一個系統服務程序來保護其進程不被關閉，只要清除了病毒生成的系統服務，就可以輕松關閉其進程。而“磁碟機”在自我保護和隱藏技術上幾乎無所不用其極，通過十余種技術來達到自我保護的目的。例如：利用進程守護技術，發現病毒文件被刪除或被關閉，會馬上生成重新運行。病毒程序以系統級權限運行，DLL組件會插入到系統中幾乎所有的進程中加載運行(包括系統級權限的進程)。利用了關機回寫技術，在關閉計算機時把病毒主程序體保存到[啟動]文件夾中，實現開機自啟動。系統啟動後再將[啟動]文件夾中病毒主體刪除掉，實現既可隱蔽啟動，又不被用戶發現的目的。使用反HIPS技術繞過部分主動防御程序“HIPS”的監控。利用光纖接入的服務器高速升級病毒體，迅速更新避免殺毒軟件查殺。

　　四、病毒變種和自我更新速度

　　“熊貓燒香”由於技術上較“磁碟機”簡單，加上源代碼可能外洩，因此病毒變種較多，而”磁碟機”由於病毒程序復雜，加上目前可以確定其源代碼尚未洩露到互聯網上，因此一周只出現兩到三個變種，最多的時候達到了一天出現兩個變種的速度，雖然相較於“熊貓燒香”在變種數量上稍遜一籌，但“磁碟機”的在線升級更新速度之快令人咋舌。江民反病毒專家懷疑“磁碟機”病毒使用了光纖接入的升級服務器，能夠實現在下載量很大的情況下，病毒體也可以瞬間自動完成更新。


　　五、病毒的破壞性

　　在破壞性上，“熊貓燒香”和“磁碟機”都能夠感染電腦內的可執行文件和網頁文件，導致系統運行緩慢，不同的是，“磁碟機”在感染文件過程中對感染文件進行了加密存放，使得清除病毒難度更大。兩者都可以鏈接到惡意網頁下載木馬病毒，但在下載的木馬病毒數量上，“磁碟機”遠超過“熊貓燒香”，“磁碟機”能夠下載二十余種木馬病毒，“熊貓燒香”只能下載一個或幾個木馬。而“磁碟機”借助ARP病毒給企業局域網用戶帶來了巨大的災難性事故，由於“磁碟機”可以借助ARP方式瞬間感染所有局域網內電腦，因此許多單位的工作因此中斷，造成了不可估量的損失。

　　六、 病毒的表現形式

　　在表現形式上，“熊貓燒香”的表現十分明顯，感染可執行文件生成“熊貓燒香”的圖案，十分易於判斷。而“磁碟機”的感染則十分低調隱蔽。他千方百計隱藏自身的行蹤，普通用戶從表面看很難發現有中毒的痕跡，很多用戶中毒後尚不自知，除了感覺系統似乎變慢外無其它明顯異常症狀。而“磁碟機”病毒也正是在這種刻意低調的偽裝下，伺機竊取用戶的隱私敏感信息，包括游戲帳號和網上銀行、網上證券交易等帳號密碼，這比“熊貓燒香”明目張膽的打劫更可怕。