CNET中國·PChome.net   類型:投稿   作者:   責編:bilabi   時間:2007-10-19 

眾所周知，傳統(tǒng)特征碼殺毒技術的工作流程是"截獲-處理-升級"，雖然這種技術已經非常成熟可靠，但總是滯后于病毒的傳播。如果病毒模仿殺毒軟件主動即時升級功能，在殺毒軟件"截獲-處理-升級"過程之間主動進行升級，傳統(tǒng)殺毒軟件豈不會再次陷入無法查殺的困境？



近日，微點主動防御軟件自動捕獲了一種具有"主動及時升級"功能的病毒，與常見的電腦病毒不同的是，該名為"Backdoor.Win32.Agent.esg"的木馬病毒，采用了與殺毒軟件"實時升級病毒庫"相類似的升級方式，進行病毒自身的及時更新，該病毒通過后臺自動連接到某一網絡地址，進行病毒最新版本的及時下載升級，爭取第一時間得到更新自身，以逃避傳統(tǒng)殺毒軟件對病毒的查殺。



據了解，該后門程序激活后，在系統(tǒng)目錄下生成KUSN33SD.EXE和KUSN433SD3.DLL文件，并且修改系統(tǒng)時間，試圖使部分殺毒軟件過期失效；修改注冊表，將KUSN33SD.EXE注冊為名為kusn33sd的服務，并啟動該服務；遍歷系統(tǒng)進程，將自身注入到winlogon.exe進程中；修改IE主頁；在后臺開啟一個IE進程，并注入到該IE進程中，并試圖突破防火墻建立網絡連接；獲取用戶的MAC地址、系統(tǒng)版本等信息，發(fā)送給黑客；聯(lián)網檢測病毒最新版本信息，自動將自身更新為病毒的最新版本。



[img]http://img.article.pchome.net/00/25/50/55/wz.gif[/img]

圖1為具有主動防御功能的安全軟件的報警圖



[img]http://img.article.pchome.net/00/25/50/55/yz.gif[/img]

圖2為微點升級后已知特征報警圖



據微點反病毒專家介紹，近年來病毒編寫技術日新月異，病毒無時無刻不在與反病毒技術進行較量。除被動的免殺外，病毒如今甚至猖獗到使用"主動及時升級"功能與傳統(tǒng)殺毒軟件公然進行正面對抗。業(yè)界專家普遍認為，隨著安全形勢的發(fā)展，殺毒軟件的殺毒能力、升級效率和防護能力等核心技術指標遭到了前所未有的挑戰(zhàn)，近年來反病毒行業(yè)整體向主動防御過渡大勢所趨。反病毒專家提醒廣大網友，建議廣大用戶使用主動防御安全軟件，徹底根治此類病毒的傳播與破壞。



[url=http://antivirus.pchome.net/others/21539.html]微點主動防御軟件[/url]