| 出版日期:2002-07-01 总期号:474 本年期号:24 |
|
 |
近距离看三线程技术
小韦 6月6日新鲜登场的“中国黑客”病毒,经过金山反病毒应急处理中心的技术人员深入分析后,有了惊人的发现:“中国黑客”首创了“三线程”结构。整个病毒采用汇编语言开发,用了非常多的反跟踪技巧,若为国人开发,说明国内的病毒编写水平已经和国际接轨甚至超越了国外同类水平!这个消息倒让我们真不知道是喜还是悲。 许多计算机爱好者可能都会问,三线程技术到底是怎么回事呢?我们请到了金山公司毒霸事业部技术总监陈飞舟先生,让他为我们详细介绍一下三线程技术。 “中国黑客”采用了独特三线程架构,这个新颖的架构导致传统杀毒软件的内存杀毒技术失效,充分显示了病毒作者对系统深入了解的程度。 我先向读者朋友说明内存清毒的过程:一般病毒只有一个线程,病毒被加载到机器内存后都会不断地往硬盘写入病毒文件或感染其他执行文件,因此在清除机器中硬盘等介质上的病毒前必须先将内存中的病毒清除,消灭传播源。而“中国黑客”病毒具有三个线程,分为主病毒体和两个监视器, 将其中一个监视器监视主病毒体并保证主病毒体的运行,一旦主病毒体被清除,这个监视器就将主病毒体再次调入。而目前杀毒软件的内存杀毒功能只能一次性地对内存进行扫描,没有做到实时监控,因此,“中国黑客”具有反内存杀毒的智能化功能。为了保证病毒在下次系统启动时能运行,另外一个监视器会不断监视注册表中病毒随系统加载的项目,如果一旦被人工或反病毒软件修改,立即重新写入病毒项,保证自己的控制权。这就是说,以前我们对付很多病毒的修改注册表的手段对“中国黑客”是无效的。应该说,病毒对注册表进行监视是以前从来没有过的,杀毒软件对注册表的实时保护现在几乎还是一个空白。因此病毒编写中三线程技术的应用在很大程度上提高了病毒对抗杀毒软件的能力,使很多杀毒软件被打了一个措手不及。目前,金山毒霸经过软件工程师的迅速反应在升级后已经能够成功彻底清除“中国黑客”了。 另外,在Windows 95/98/Me系统下,“中国黑客”病毒学习了臭名昭著的CIH病毒,使用了VXD(虚拟设备驱动)技术进入到了系统核心层(ring 0),取得了系统的最高权限,也代表病毒这时已经可以为所欲为,一旦加上破坏代码,毁坏BIOS、毁坏硬盘数据都可以轻易做到。可以设想一下:一个病毒具有求职信病毒的强传播力同时又具有CIH的强破坏力,它的出现将对网络及计算机安全构成多么巨大的威胁。 在传播方式上,“中国黑客”采用寻找用户邮件地址簿来向外发病毒邮件与局域网传播两种方式,这一点与求职信病毒非常相似。金山公司仅在6月6日已经收到“中国黑客”病毒主动发来的带毒信件近2000封。 此外“中国黑客”病毒还预留了接口,很多破坏功能与传播方式只要作者愿意的话很快就可以加上。病毒体内的感染开关没有打开,所以目前此病毒还不能感染文件,但实际上病毒体内的感染代码已经比较完整,一旦加上几行代码就可以实现感染Windows下的EXE、DLL、SCR等PE文件。 针对这一病毒,国内几大厂商瑞星、江民、金山走到了国外厂商的前面已纷纷推出升级包来清除这一新型病毒,金山公司还在发现病毒的当天就提供了免费的第二代专杀“中国黑客“病毒工具提供下载,链接:http://www.iduba.net/download/othertools/Duba_RunOuce.EXE。 严防“中国黑客”变种病毒 病毒名字:W32.CHIR@MM 有效的系统:Windows 病毒的种类:WORM 病毒的大小:10799 B 据江民公司反病毒中心最新消息,目前一种“中国黑客”变种病毒开始大范围扩展,与“中国黑客”病毒一样,属于蠕虫病毒类,具有自动传播性。为了使自己在每一次系统启动的时候运行,该病毒会对注册表进行修改:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\windows\system\runouce.exe。病毒会自动查找Windows邮件地址簿,将病毒邮件发送到里面的地址联系人。 该带病毒邮件的信息为: from: 主题是:HI, I am 附件是:P.EXE 该病毒还是利用了微软Outlook的漏洞进行传播,目前,升级《KV3000杀毒王》可以对该病毒进行清除。要阻止该病毒通过Outlook预览邮件进行传播,还是要升级Outlook的补丁程序,下载地址:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp |
||||||||||||||||||||||
