除操作系统外,用户群越广的软件,被攻击的可能性越大。最近不少恶意软件攻击者把目录投向迅雷,有关web迅雷的0day在黑客圈广为流行,迅雷官方补丁,升级程充也发了若干个版本以修补这些安全隐患,但似乎效果不佳。
昨天下班,一兄弟的电脑上,毒霸发现一堆盗号木马,和毒霸论坛上反馈的情况类似。使用sreng分析,发现一堆dll文件插入正常程序的进程,hosts中禁止了一大堆安全软件的网站,各磁盘分区被写入autorun.inf和另一个随机8位字符的exe。用毒霸清理专家的文件粉碎器和sreng的日志分析,把这些sys、dll文件全部干掉,才没有继续下载onlinegame木马。
风险分析:这位兄弟的电脑涉及公司很多机密信息,平常非常注重安全管理,系统补丁,管理员口令,甚至权限都很严密,自动播放也被禁止。配置了毒霸自动杀毒和更新,发现病毒是极为罕见的事情,也会被认为是重大安全事件。风险来自哪里呢?
仔细分析后,发现与打开web迅雷有关,这是已经升级到最新的web迅雷版本。尝试重新打开web迅雷,很快毒霸又报告发现木马。尽管,我尚无法分析出是有关web迅雷的具体漏洞。已经感觉到这些病毒,是和web迅雷的下载行为是相关的。
在分析最近发现的那些插入正常程序进程的dll病毒时,我明显感觉到病毒的版本更新速度超过了杀毒病毒库的更新速度,病毒程序的在线升级速度,也快过杀毒软件的升级速度。(写到这儿,又会有粪青耻笑了——谁让你用毒霸),我要说的是,每次,我从论坛或客户那边拿到的这些样本,都会用各种杀毒软件检查一遍,目前,我没有发现任何一个产品能检查到全部样本。
在病毒作者的圈子中,交换程序代码相当普遍,怀疑他们用来对付杀毒软件的代码,也是共享的。而杀毒厂商之间,显然,还没有实现这一点。这就要我们更加关注服务,关注应急响应。我很高兴地看到毒霸在这方面进展迅速,珠海兄弟们很辛苦,谢谢他们!
(完)
