萬盛學電腦網

 萬盛學電腦網 >> 系統工具 >> 金山毒霸:DOS病毒復活 穿越者輕松突破主流殺毒軟件

金山毒霸:DOS病毒復活 穿越者輕松突破主流殺毒軟件

  目前,主流計算機均使用64位CPU,操作系統逐步從32位升級到64位,新出廠的PC中大多安裝了64位Windows 7 。當人們認為16位程序(多是DOS程序)將消失時,病毒打破了平靜。10月25日,金山毒霸安全中心監測發現一種16位DOS病毒復活,輕松穿越主流殺毒軟件的防御。

  這個被命名為DOS.StartPage.fk的程序每天感染超過2萬台電腦,篡改浏覽器圖標,將主頁鎖定為42630.com網址導航站,病毒主要通過一些提供盜版影視劇下載的網站傳播。

金山毒霸:DOS病毒復活 穿越者輕松突破主流殺毒軟件 三聯教程

  圖1 病毒修改浏覽器主頁,創建桌面IE圖標

  目前,主流操作系統和應用軟件多為32位程序(64位應用程序尚在逐步普及,未成為主流),16位DOS程序已非常罕見,金山毒霸安全中心因此將該病毒命名為“穿越者”。

  圖2 金山毒霸查殺穿越者DOS病毒

  病毒作者使用的編程工具也是被淘汰的quick basic,病毒作者將32位的執行程序封裝在16位DOS程序外殼中,從而令主流殺毒軟件防御系統完全不能偵測。殺毒廠商普遍認為DOS病毒已經消失,現有的防御系統,大多針對32位程序設計。

  病毒為逃避查殺,在16位外殼程序運行後,會刪除自身,增加殺毒軟件追查樣本來源的難度。結果倒霉的就是網民:用戶會發現浏覽器主頁總被修改,用殺毒軟件修復之後只能短期內有效,在下載盜版影視劇時,又會再次中招。

  金山毒霸安全專家指出,由於該病毒突破殺毒軟件的方法獨特,短期內很可能有更多病毒嘗試穿越到DOS時代。針對這個16位穿越者病毒的特殊作法,金山毒霸修改了現有防御體系,已可完全攔截穿越者病毒。當網民從帶毒網頁下載病毒時,也會立刻阻止。

copyright © 萬盛學電腦網 all rights reserved