主持人:
各位网友大家好,欢迎大家再次来到赛迪聊天室,今天我们请到了金山毒霸高级工程师李铁军先生做客赛迪网,跟大家一起聊一聊关于病毒里映像劫持技术的话题。首先第一个问题希望铁军帮我们讲解一下这个病毒有哪些特点,另外就目前掌握的数据来看,比较早用这种技术的病毒是哪一个?
李铁军:
映像劫持技术本身是操作系统预知的用做调试的接口,2000年的时候就有人用这种手段攻击杀毒软件。
主持人:
当时不像现在这么普遍?
李铁军:
对,个别的病毒这么做过,但影响力都比较小。
主持人:
目前掌握数据来看哪些早期病毒用过个技术呢?
李铁军:
已经很难查得到,因为这个病毒感染力不大,没有造成很严重的扩散,简单的处理掉了,没有对它进行深入的分析。
主持人:
为什么这次这个病毒这么严重呢?
李铁军:
我们做AV专杀提供解决方案之前一个月左右发现这个病毒慢慢提升。我观察论坛里面这个现象在增加,我们的客服也报告杀毒软件不能用,升级升不了,这样的现象迅速增加。这时候遇到一个很麻烦的问题,普通用户遇到这种情况电话指导他很困难。我们发现需要提供一种工具帮助客户比较快的解决问题。这种情况下我们的专杀工具在增加,咨询越来越多,肯定是有必要帮助用户提供更快速的专杀工具。
主持人:
我也遇到过这样的网友求助,确实在电话里指导很困难。您给介绍一下映像劫持技术是怎样的运作机理,它有什么特征呢?
李铁军:
它本身就是操作系统调试的接口,大家知道计算机任务管理器的进程一栏里有一列叫映像名称,映像劫持是跟这个对应的,这个映像被它定位到另外一个程序,结果下一次重启的时候会发现它运行了另外这个程序。
主持人:
正常的都是跟它对应的程序?
李铁军:
对,路径里面都定义了,这个位置指到病毒所涉及的区域,正常的情况下就起不来了。这种是非常有效的,只要重启马上升效。
主持人:
为什么进入安全模式杀毒也杀不了呢?
李铁军:
首先映像劫持在安全模式下也是有效的,其次它把安全模式定义那项直接删除了,你的系统启动到安全模式就死了。破坏安全模式很早也有,去年有一个流氓软件我们还命名为“破坏安全模式”,主要目的就是不让计算机启动安全模式。
主持人:
近期哪些病毒利用了这个技术呢?
李铁军:
我们已经把它看作一系列的病毒现象,是多种对付杀毒软件的招数都用在一个病毒上。我们分析的时候发现这个病毒和用户自己遇到的总是有一点差异。比如病毒的进程名、文件名都是不一样的,会发现很多人利用这种技术把这些病毒融合在一个技术里,这就构成了AV病毒的现象,是一个现象,成了一个集合。
主持人:
现在是一个病毒趋势,病毒作者都觉得这个挺好用的。
李铁军:
我们注意到网友用软件的过程中只是发现杀毒软件工作不正常,但是安全意识不是很强的用户会发现电脑没有任何异常,所以他自己用电脑都觉得跟其它没什么不一样的地方。它不破坏文件,不会像蠕虫病毒一样发包,它就是不让杀毒软件工作。对系统性能影响非常小。
主持人:
早期有一些病毒也能关闭杀毒软件,也是利用这样的技术吗?
李铁军:
不是,是盯着只要发现就通过系统命令关闭掉。
主持人:
网友有什么方法可以区别出是中了IFEO病毒呢?
李铁军:
机器会出现一系列的现象,比如进入不了安全模式,杀毒公司网站访问不了,“杀毒”、“木马”、“专杀工具”之类的文字一在某个窗口出现这个窗口就被关掉,这都是典型的现象。
主持人:
只是在普通的文档里出现这些文字,出现文字的窗口也会关闭是吗?
李铁军:
对。我们研发部有一个QQ群帮用户解决问题,原来叫杀毒群,中毒用户一点这个群进去QQ就被关闭了。名称得改才能防止攻击。我们提供了一些解决方案,想提供给真正中毒的用户帮他解决问题是比较难的。因为他已经中毒了就需要通过一个正常的电脑我们指导他去操作。我们专杀工具发布以后很困惑,到底该怎么推给用户呢?我们在浏览器标题栏这一页跟“杀毒”有关的字都过滤掉,同时我们尽可能的用图片、不用文字,通过这些方法来防止病毒的破坏。(责任编辑:李磊)
