2010年“极虎病毒”事件丨专栏

2018 年 11 月 24 日 中科院之声

关键词:极虎病毒,病毒预防,极虎病毒查杀


一、谶曰


图1 黑客编写电脑病毒程序


小白:放假过年我真欢喜,不法分子全年他不休息!


大东:网安意识你记心底,电脑病毒他进不去!


小白:极虎病毒他真可怕,虎年第一真不假!


大东:日常杀毒要做好,安全上网要做到,极虎极虎他来不了!


二、话说事件


小白:哎,国庆长假过去那么久,距离下一个元旦小长假还有一个多月,过年是我现在的唯一期待了,多么期待明天醒来就迎来假期,美好的假期!美好的日子!


大东:咳咳,小白,别期待了,在网安圈,一年365天,天天都要注意,元旦春节这些举国欢庆的日子更不可以掉以轻心呀。


小白:不是吧,春节这种全家欢聚的日子里居然有人会想要搞事?


大东:唉,春节期间流行病毒可不少,今天我就来给你讲讲那个在2010年春节严重影响了大家过年愉悦指数的“极虎病毒”。


小白:“极虎病毒”?听起来很厉害呀,大东东,快讲快讲~


大东:“极虎病毒”在春节放假之前出现并在2月8号全面爆发,仅2月7日一天,就有100390台电脑感染该病毒,截止到9号被袭击用户电脑超过50万台。即使是在假日期间平均日感染量也在7、8万台电脑左右,而在长假结束后,其感染量更是迅速增长到12万台以上,这还是金山毒霸成功帮助超过10万用户拦截了该病毒之后的数据。


图2 “极虎病毒”在春节前后感染量


小白:我的天呀,这么多!它真是超乎我的想象啊!


大东:”极虎病毒“可是当时被称为”虎年第一猛毒“的病毒!他是金山毒霸云安全实验室国内首家发现的一款集合了磁碟机、AV终结者、中华吸血鬼、猫癣下载器为一体的混合病毒,此外,他还有”四最“呢。


小白:咦?哪四最呀?


大东:”一最“是他的传播方式之多样是历次病毒之最,”二最“是他下载的病毒种类之丰富是历次病毒之最,”三最“是他的清除之难是历次病毒之最,“四最”呢则是指他的系统影响是历次病毒之最。


三、大话始末


小白:大东东,你先来给我讲讲他的传播方式吧!


大东:好啊,“极虎病毒”主要可以使用七种途径来传播。第一,网页挂马,他可以利用极光0day等漏洞广泛传播。第二,U盘、手机、数码相机等移动设备。第三,局域网,他可以通过局域网的共享缺陷,通过弱口令进行内网渗透。第四,软件捆绑及欺骗下载。第五,感染的网页格式文件。第六可执行exe文件。第七,rar压缩包文件,方式一,感染rar压缩包中的可执行文件;方式二,将usp10.dll病毒文件强加到rar压缩包通过系统文件挟持传播。


小白:那次要的呢?


大东:“极虎病毒”的衍生变种大概还有其他三种传播方式。第一,在系统文件夹创建usp10.dll和Ipk.dll,第二,部分变种会替换掉正常服务,如:appmgmts.dll、qmgr.dll、xmlprov.dll等。第三,当主程序被删除后,如booter.exe,用所留后门,如svchost所加载之替换服务,利用iexplore.exe重新下载。


小白:这可真是太嚣张了,他替换了我的文件,而且居然还会在被删除后重新下载!我劝他善良啊!


大东:哈哈哈,小白,这也是他清除难度之大的体现之一啊!小白,你要不要猜猜他为什么难以清除。


小白:嗯~他的传播与局域网有关,想必,难度之一就是因为局域网全网查杀的难度大造成的。他还可以通过移动设备传播,说明他容易会因此而反复感染不易彻底查杀。同时,他能感染压缩包和网页文件,应该也是造成他不易清除的原因之一吧。大东东,我说的对不?


大东:嗯,给你打60分,我来补充补充。“极虎病毒”可以感染"appmgmts.dllmspmsnsv.dllIprip.dll"等11余种系统文件,清除会造成系统问题,因此,杀毒软件不敢轻易清除,而一些变种又因此可以反复下载造成反复感染。


小白:这岂不是就是小偷引诱我家的重要成员,即使我赶走他一次,他又可以通过被引诱者回来偷窃了嘛?


大东:是的。除此之外,“极虎病毒”的强大之处在于他可以主动对抗杀毒软件,主动防御拦截容易被针对性绕过,更可怕的是他拥有自保护驱动来攻击对抗杀毒软件。除此之外,“极虎病毒”更是每日更新,就跟西游记中的“孙行者”、“者行孙”一般换衣换名让杀毒软件认不出。


小白:“极虎病毒”真是使出三十六般变化极力阻止被赶跑呀!诶,大东东,那他的附带病毒都有那些呀?怎么就让他成为附带病毒最丰富的了呢?


大东:来来来,我们来看看,“极虎病毒”这个”虎年春节大礼包“都包含了些啥。一是IE主页篡改类病毒、二是热门游戏盗号器、三是流氓软件安装器,还有其他类型下载器病毒。全方面无死角让你电脑成为“游乐园”。


小白:这”游乐园”可真不让人愉快啊!咦,若是他下载的软件安装器还可以下载他自己,那这真的是圆环套圆环,让你永远摆脱不掉他呀!


大东:还有更可怕的呢!“极虎病毒”该病毒会感染用户机器上的所有可执行文件,同时他非常隐蔽,采用"线程" 插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。而且,“极虎”还会造成系统卡慢的问题。


图3 在冰刃中查看到的Svchost.exe模块信息


小白:卡慢?中了病毒后电脑不都会很卡慢吗,这还得用得着说吗?


大东:这可不一定,但中了极虎病毒的电脑一定会很卡顿,因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件,感染压缩包中的其它程序文件后,再打包。而且由于该进程是system权限的,所以你无法使用任务管理器关闭。


图4 “极虎病毒”产生rar.exe,ping.exe进程


大东:除此之外,“极虎”还会破坏、替换系统文件,攻击各种杀毒软件,感染所有可执行文件,并联网下载大量盗号、广告类软件,真真是无恶不作,令人头大。


小白:真不愧是“虎年第一猛毒”啊!


四、小白内心说


小白:大东东,“极虎病毒”这么可怕,我可怎么预防他呀?


大东:唉,所有的电脑病毒都有一致的预防方法,那就是健康上网,不浏览不健康、可疑的网站,只下正版软件,及时安装杀毒软件及时升级,勤杀毒,勤更新病毒库,时刻防护。对于移动设备、下载的文件先杀毒后使用。


小白:这么简单?


大东:可不就是这么简单。时刻注意,防病毒就是这么简单!


小白:那我要是不小心感染了“极虎病毒”呢?那要怎么做呢?


大东:对于“极虎病毒”,你可以使用主流杀毒软件全面查杀系统,若是失败了,你还可以下载“极虎病毒“专杀工具,专治”极虎“,让这只老虎变成”病猫“!


小白:那要是我没办法下载这个专杀工具怎么办呢?


大东:那就只好采用最原始的解决方案了,将整个硬盘格式化后使用光盘重装系统。


小白:万变不离其宗,看来所有的解决方法到最后都是重装系统呀。


五、那年那事


小白:大东东,我怀疑我可能是失忆了。


大东:怎么回事!


小白:我发现我对2010年毫无印象,仿佛这一年就是空白的。


大东:哈哈,我看你挺喜欢网购和追剧的,2010年,那对于网购和视频网站们而言可是个极为重要的大年份。


小白:咦?什么大年份?东东,你就别卖关子了,快说嘛~


大东:2010年团购市场特别火热,从2010年3月开始,中国的网络团购网站数量迅速达到了数百个被业界戏称“百团大战”。除此之外,2010年电子商务网站麦考林、当当网上市相继在美国上市,而在12月大批量电商企业集中上市,你说这是不是大事件?


小白:唉,你说的这些离我好像很远呀,我还是什么都想不起来呢。


大东:好吧好吧,那我说个你肯定记得住的。上海世博会你总还记得吧?


图5 上海世博会中国馆


小白:大东东,你这么一说我就想起来啦!我当时可是排了好长好长好长的队伍呢!城市,让生活更美好!


大东:技术,让未来更令人期待!


小白:嘻嘻~


来源:中国科学院计算技术研究所


温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」





登录查看更多
0

相关内容

      金山毒霸(Kingsoft Antivirus)是金山软件股份有限公司研制开发的高智能反病毒软件。融合了启发式搜索、代码分析、虚拟机查毒等经业界证明成熟可靠的反病毒技术,使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面达到世界先进水平,同时金山毒霸具有病毒防火墙实时监控、压缩文件查毒、查杀电子邮件病毒等多项先进的功能。紧随世界反病毒技术的发展,为个人用户和企事业单位提供完善的反病毒解决方案。
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【干货书】现代数据平台架构,636页pdf
专知会员服务
253+阅读 · 2020年6月15日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
116+阅读 · 2020年5月10日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
专知会员服务
27+阅读 · 2020年3月6日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
【新书】傻瓜式入门深度学习,371页pdf
专知会员服务
187+阅读 · 2019年12月28日
事理图谱:事件演化的规律和模式
哈工大SCIR
34+阅读 · 2019年7月19日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
如何运营15万付费用户?
三节课
6+阅读 · 2019年2月28日
已删除
雪球
6+阅读 · 2018年8月19日
2017企业阵亡最全名单公布
小饭桌
6+阅读 · 2018年2月28日
如何用Python做舆情时间序列可视化?
CocoaChina
11+阅读 · 2017年7月21日
Advances in Online Audio-Visual Meeting Transcription
Arxiv
4+阅读 · 2019年12月10日
Feature Selection Library (MATLAB Toolbox)
Arxiv
7+阅读 · 2018年8月6日
Arxiv
3+阅读 · 2018年3月22日
VIP会员
相关VIP内容
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【干货书】现代数据平台架构,636页pdf
专知会员服务
253+阅读 · 2020年6月15日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
116+阅读 · 2020年5月10日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
专知会员服务
27+阅读 · 2020年3月6日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
【新书】傻瓜式入门深度学习,371页pdf
专知会员服务
187+阅读 · 2019年12月28日
相关资讯
事理图谱:事件演化的规律和模式
哈工大SCIR
34+阅读 · 2019年7月19日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
如何运营15万付费用户?
三节课
6+阅读 · 2019年2月28日
已删除
雪球
6+阅读 · 2018年8月19日
2017企业阵亡最全名单公布
小饭桌
6+阅读 · 2018年2月28日
如何用Python做舆情时间序列可视化?
CocoaChina
11+阅读 · 2017年7月21日
Top
微信扫码咨询专知VIP会员