病毒巧推“多米諾骨牌” 金山毒霸率先查殺

　　“網友泡泡在論壇訴苦：下載U盤量產工具，運行後發現根本不是量產工具，桌面IE圖標打開都是網址導航站，還被強行安裝多個互聯網軟件。”9月23日，金山毒霸攔截到此類病毒，病毒的運行方式如推倒多米諾骨牌，可繞過多款安全軟件，金山毒霸可以查殺。

　　網友泡泡下載的所謂“U盤量產工具”，實際為病毒作者拿正常互聯網軟件下載器修改，只將原程序下載正常軟件的目標地址修改為病毒。金山毒霸工程師指出，可以被病毒作者改造的中國互聯網軟件下載器數以千計，這類工具將成為病毒傳播的新機會。

　　運行這個被改造的軟件下載器之後，會下載一個msi的安裝包，內有10多個可執行程序，只有一個是病毒，其它文件均為正常程序。病毒作者用正常程序運行後的一連串動作來啟動病毒。金山毒霸雲安全中心監測數據表明，該類病毒的感染量每天超過數萬台。

　　圖1 樣本示例：msi文件(內含10多個文件，只有install.bat是病毒)

　　金山安全專家指出，“這些動作看起來就象推倒多米諾骨牌，正常程序已被眾多安全軟件加入可信任的白名單。結果就會導致病毒運行時殺毒軟件不攔截，用戶的浏覽器、桌面圖標都被改寫。

　　圖2 金山毒霸工程師解釋病毒作者推倒多米諾骨牌的流程

　　金山毒霸安全專家指出，在我們的電腦中，可以被病毒作者用來制作“多米諾骨牌”效應的軟件可能非常多，有點防不勝防。這個病毒的利用特點值得安全廠商高度關注，在殺毒軟件中簡單添加白名單也許並不明智，用戶需要反應更敏捷的殺毒軟件。

　　這些病毒主要通過一些不常見的工具軟件、破解補丁、游戲外掛等軟件下載站來傳播，當網民搜索一些不常見的軟件時，應盡量選擇天空、華軍這種審核較嚴的下載站，避免從不知名的網站下載，小網站傳播病毒的概率很高。