亲历制伏“中国黑客”的7.5小时
前段时间,网络上的病毒非常猖獗,我的爱机也惨遭蹂躏,这里介绍一篇文章,大家看过以后,应该有所防范!
一,不要开共享文件夹
二,立刻找瑞星的最新版本的杀毒软件安装或者升级病毒库
三,对每个邮件进行扫描,不要存在侥幸心理。
入侵
6月6日,知名IT记者刘韧用电脑收了一封带有p.exe附件的电子邮件,随后,这个附件自动启动,并通过网络向外大量发送邮件。多年的IT从业经验让刘韧意识到,自己“中招”了——可怕的病毒已经进入到电脑的体内并开始发作。
刘韧用杀毒软件查杀了一遍,国产的杀毒软件不行,国外的也不行。他说:“现在连我最信任的诺顿也发现不了它。它还在以liuren@hotmail.com向外发信。我关了outlook也不顶用。”情急之下,他抓起电话,拨通了国内杀毒软件厂商老总的手机。
交火
江民公司的王江民让他试着删掉一些文件,瑞星公司的毛一丁听了也直挠头:“要不,你先把网络断开?”他们判断,这是一个传染能力极强的恶性邮件病毒。
下午2点,病毒样本被送到了杀毒软件厂商的实验室里,于是,一场病毒与反病毒的高智力的脑力角斗拉开了战幕。
在瑞星公司的实验室里,十几名反电脑病毒专家小心翼翼地把这只病毒激活,不一会儿就听到各处响起了一片惊呼,“病毒跑到我这里了”,“我的电脑上也有了”……
工程师们发现,这是一只十分“聪明”的病毒,病毒的编写者技术十分高明,病毒的“功能”设置也非常巧妙,它通过种种方法使得这个病毒不光传染能力极强、速度极快,而且能绕过杀毒软件的层层关卡进入机器内存,更厉害的是,普通杀毒软件即使发现这个病毒,也无法“干掉它”。
这个病毒通过邮件传染,具备自启动功能,在Outlook中只要被点中就自动启动。病毒把自身拷到Windows//system32的目录下,命名为Runouce.exe,同时启动这个文件。
启动后的病毒建立两个线程,除了普通线程之外,还有一个内核线程。这个内核线程跟踪监控自己的普通线程,一旦普通线程被查杀,就会立刻重新启动再建一个普通线程,因此普通杀毒软件无法彻底查杀。
同时,这个病毒十分有效地利用局域网进行传播。一旦它进入局域网中的某台机器,就会立刻在“网上邻居”中搜索共享文件夹。只要搜索到某个可写共享文件夹,就会生成以被感染机器名开头的.eml文件,因此最后导致局域网的所有机器都成为病毒邮件的“发送基地”。
解剖这只病毒发现,这只病毒体内含有ChineseHacker以及其它一些中文信息,瑞星反病毒小组初步判定,这是继“中文求职信”之后的又一个国内病毒编写者制造的“高级”病毒,足以和“尼姆达”、“红色代码”这些舶来品相“媲美”。
这只病毒被命名为“中国黑客”!
制敌
就在工程师们紧张地进行测试的同时,瑞星市场部的工作人员也立即上报给国家有关部门,同时把这一未知恶性病毒来袭的消息发布到了互联网上,提醒大家注意。
下午5点,瑞星的专家们已经找到了查杀这只病毒的办法,并且提交程序进行测试,晚上9点30分,能彻底查杀“中国黑客”的新版本(14.12版)提交到网上供用户下载。
传统的杀毒软件监控系统只停留在“文件级监控”(也称之为实时监控)的水平上,对驻留在内存中的病毒没有办法,只能靠重新启动计算机并在DOS系统下查杀才能见效。因此,当再次被感染时,只能继续重启机器、再次查杀……
瑞星“2002增强版”中独有“内存监控”系统,将文件级监控提升到了内存监控的水平,“红色代码”类的纯内存型病毒可以随时监测并杀灭,完全不必重启机器用DOS查杀。但是这次遇到了“中国黑客”的强劲挑战。
“中国黑客”病毒在内存中运行级别极高,而且采用双线程机制,利用一个线程监视另一个线程的运行,瑞星“内存监控”系统虽然可以杀灭其中的一个线程,但病毒的另一个线程仍旧会再生成新的线程,导致瑞星“内存监控”的失效。
为了对付这个厉害的“中国黑客”,瑞星工程师在仔细分析该病毒的特征后,对“内存监控”系统进行了相应的调整,并制作了相应的升级程序,在最短的时间内修改了产品的内核,才最终解决这个病毒。
反思
在短短一个月时间内,连续出现了“中文版求职信”和“中国黑客”两个非常厉害的恶性病毒,专家们认为,国内已经成为重要的“病毒发源地”,这是一个十分值得关注和警惕的现象。
