主持人:
回到磁碟机这个话题上来,我记得今年上半年我看过铁军写过这篇文章“史上超强磁碟机病毒 中毒之后解决思路”,请问你当时是怎么发现这个病毒并与之进行艰苦斗争的?
李铁军:
这是很偶然的,之前有很我的朋友包括网友和客服中心的同事都遇到过这种病毒,很多人跟我聊天的时候告诉我,让我关注一下磁碟机病毒,当时我们觉得这种病毒应该不会引起传播,因为由于它自身的缺陷感染之后系统就坏了。我们的一位客服后来又告诉我说要留意一下叫磁碟机的病毒,这个东西现在越来越多了。很偶然的一次,我们聊天上网的时候有朋友中了,他只是发现号被盗了,这时候我们远程连接他的桌面,连过去之后发现他所有的安全软件都已经不能用了。这时候仔细去观察,因为他的系统基本正常,只不过机器上的任务管理器检查系统的程序不灵了。比如一些相应的安全软件一执行,就发现这些工具很快被删除了。我们当时花了比较长的时间用另外一个工具进行检查——好在这个工具没有被病毒杀掉——是一个比较不错的进程管理器,这个管理器功能比较复杂,一般的用户不太会使用。用它可以找到病毒运行的线程,然后手动删除。我们发现目前对这个工具能够攻击的病毒还是比较少的。
主持人:
当时你注意到这个病毒之后觉得它比较好清除吗?
李铁军:
非常不好清除,普通用户遇到这个病毒之后基本上没有办法,只有一个选择,就是重装系统。最早时候它的一个版本是感染除了C盘以外的其他可执行的系统,后来是除了system32文件夹下的其他所有文件都感染了。
主持人:
金山的专杀更新非常快,甚至连专杀工具都快变成一个小型的杀毒软件了,这是因为什么呢?
李铁军:
因为如果只是删除病毒本身用户还是容易再中毒,所以我们想把这个事情做得彻底一点。
主持人:
以后所有的病毒会不像磁碟机一样看齐,那么以后专杀岂不越来越难做了。
李铁军:
最近有朋友给我们提供了大水牛下载者生成器,在他的软件界面上就可以看到,可以让木马下载器具备几乎所有的功能,而且这些功能都是针对主动防御的。比如可以用映像劫持技术破坏杀毒软件、可以删除杀毒软件、可以感染文件、指定到某一个病毒下载更新病毒库。他们下载指定的程序,这些程序大部分是下载列表,通过列表完成任务。本身磁碟机自己也会完成更新,他可以更新其他的木马也可以更新自己的。磁碟机下载器只是其中这个产业链中这些人最疯狂的一类人。这和蠕虫病毒不同,蠕虫病毒的传播是不可控的,只要放出去就在互联网中自生自灭了。但磁碟机这类下载器不让它传播很简单,它自己能够下载更新。如果它自己想停止,那只要把服务器停掉,停止更新就行了,但是蠕虫病毒就没办法了。这些做下载器的人想什么时候传播,下载多大的范围都是自己可以控制的。磁碟机木马下载器它突然停止传播,我分析估计他的心里可能有几方面,一个是各安全厂商对他的压力还是比较大的。因为各家都觉得这是一个难对付的病毒,它的影响也比较大,各家都在报相关东西的时候,我相信相关的管理部门也在进行这方面的工作。他可能觉得再继续这样做下去可能跟去年熊猫烧香作者一样的下场,所以他可能是暂时避避风头。所以我觉得控制磁碟机病毒的是一个很疯狂组织。
主持人:
确实,它的更新速度太快了。
李铁军:
原来是两天一个版本,后来是一天一个版本,他除了做这个之外还要更新木马,我想不是一个人两个人可以做的。还有那么多传播的途径,做那么多木马卖出去,这应该是一个组织做的。
(责任编辑:李磊)
