CNET中國·PChome.net   類型:投稿   作者:   責(zé)編:bilabi   時(shí)間:2007-10-19 

眾所周知，傳統(tǒng)特征碼殺毒技術(shù)的工作流程是"截獲-處理-升級(jí)"，雖然這種技術(shù)已經(jīng)非常成熟可靠，但總是滯后于病毒的傳播。如果病毒模仿殺毒軟件主動(dòng)即時(shí)升級(jí)功能，在殺毒軟件"截獲-處理-升級(jí)"過程之間主動(dòng)進(jìn)行升級(jí)，傳統(tǒng)殺毒軟件豈不會(huì)再次陷入無法查殺的困境？



近日，微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲了一種具有"主動(dòng)及時(shí)升級(jí)"功能的病毒，與常見的電腦病毒不同的是，該名為"Backdoor.Win32.Agent.esg"的木馬病毒，采用了與殺毒軟件"實(shí)時(shí)升級(jí)病毒庫"相類似的升級(jí)方式，進(jìn)行病毒自身的及時(shí)更新，該病毒通過后臺(tái)自動(dòng)連接到某一網(wǎng)絡(luò)地址，進(jìn)行病毒最新版本的及時(shí)下載升級(jí)，爭取第一時(shí)間得到更新自身，以逃避傳統(tǒng)殺毒軟件對(duì)病毒的查殺。



據(jù)了解，該后門程序激活后，在系統(tǒng)目錄下生成KUSN33SD.EXE和KUSN433SD3.DLL文件，并且修改系統(tǒng)時(shí)間，試圖使部分殺毒軟件過期失效；修改注冊(cè)表，將KUSN33SD.EXE注冊(cè)為名為kusn33sd的服務(wù)，并啟動(dòng)該服務(wù)；遍歷系統(tǒng)進(jìn)程，將自身注入到winlogon.exe進(jìn)程中；修改IE主頁；在后臺(tái)開啟一個(gè)IE進(jìn)程，并注入到該IE進(jìn)程中，并試圖突破防火墻建立網(wǎng)絡(luò)連接；獲取用戶的MAC地址、系統(tǒng)版本等信息，發(fā)送給黑客；聯(lián)網(wǎng)檢測病毒最新版本信息，自動(dòng)將自身更新為病毒的最新版本。



[img]http://img.article.pchome.net/00/25/50/55/wz.gif[/img]

圖1為具有主動(dòng)防御功能的安全軟件的報(bào)警圖



[img]http://img.article.pchome.net/00/25/50/55/yz.gif[/img]

圖2為微點(diǎn)升級(jí)后已知特征報(bào)警圖



據(jù)微點(diǎn)反病毒專家介紹，近年來病毒編寫技術(shù)日新月異，病毒無時(shí)無刻不在與反病毒技術(shù)進(jìn)行較量。除被動(dòng)的免殺外，病毒如今甚至猖獗到使用"主動(dòng)及時(shí)升級(jí)"功能與傳統(tǒng)殺毒軟件公然進(jìn)行正面對(duì)抗。業(yè)界專家普遍認(rèn)為，隨著安全形勢(shì)的發(fā)展，殺毒軟件的殺毒能力、升級(jí)效率和防護(hù)能力等核心技術(shù)指標(biāo)遭到了前所未有的挑戰(zhàn)，近年來反病毒行業(yè)整體向主動(dòng)防御過渡大勢(shì)所趨。反病毒專家提醒廣大網(wǎng)友，建議廣大用戶使用主動(dòng)防御安全軟件，徹底根治此類病毒的傳播與破壞。



[url=http://antivirus.pchome.net/others/21539.html]微點(diǎn)主動(dòng)防御軟件[/url]