“網友泡泡在論壇訴苦:下載U盤量產工具,運行後發現根本不是量產工具,桌面IE圖標打開都是網址導航站,還被強行安裝多個互聯網軟件。”9月23日,金山毒霸攔截到此類病毒,病毒的運行方式如推倒多米諾骨牌,可繞過多款安全軟件,金山毒霸可以查殺。
網友泡泡下載的所謂“U盤量產工具”,實際為病毒作者拿正常互聯網軟件下載器修改,只將原程序下載正常軟件的目標地址修改為病毒。金山毒霸工程師指出,可以被病毒作者改造的中國互聯網軟件下載器數以千計,這類工具將成為病毒傳播的新機會。
運行這個被改造的軟件下載器之後,會下載一個msi的安裝包,內有10多個可執行程序,只有一個是病毒,其它文件均為正常程序。病毒作者用正常程序運行後的一連串動作來啟動病毒。金山毒霸雲安全中心監測數據表明,該類病毒的感染量每天超過數萬台。
圖1 樣本示例:msi文件(內含10多個文件,只有install.bat是病毒)
金山安全專家指出,“這些動作看起來就象推倒多米諾骨牌,正常程序已被眾多安全軟件加入可信任的白名單。結果就會導致病毒運行時殺毒軟件不攔截,用戶的浏覽器、桌面圖標都被改寫。
圖2 金山毒霸工程師解釋病毒作者推倒多米諾骨牌的流程
金山毒霸安全專家指出,在我們的電腦中,可以被病毒作者用來制作“多米諾骨牌”效應的軟件可能非常多,有點防不勝防。這個病毒的利用特點值得安全廠商高度關注,在殺毒軟件中簡單添加白名單也許並不明智,用戶需要反應更敏捷的殺毒軟件。
這些病毒主要通過一些不常見的工具軟件、破解補丁、游戲外掛等軟件下載站來傳播,當網民搜索一些不常見的軟件時,應盡量選擇天空、華軍這種審核較嚴的下載站,避免從不知名的網站下載,小網站傳播病毒的概率很高。