现在,这些出名的病毒,从维京到熊猫,再到帕劳蠕虫,他们都有个共同的身份——下载者。
他们做了一堆BT的勾当:
1、持续性配置。Viking系的感染可执行文件,autorun,帕劳蠕虫的狡兔三窟。
这个是真正属于病毒的行为,自己想一下自己也会这么做。但是要能做到这个,就得有足够的权限,而且还得对付HIPS软件的监视。
2、打击安全类软件和安全措施。熊猫感染杀毒软件并尝试删除gho,帕劳蠕虫的IFEO劫持和ws2_32.dll目录,safeboot的噩梦,以及现在非常流行的改系统日期反卡巴法。
其实病毒作者如果自己技术够强,就完全可能彻底绕过那些个杀软而完全隐藏自己。但是他们反而将杀毒软件的运行环境破坏,这样已经背离了病毒应有的隐蔽性原则。病毒作者要么是出于虚荣心,要么就是出于对杀软深深的仇恨和恐惧,才将杀软作为直接攻击目标。如果让我去写下载者,我肯定会在完成任务后马上自毁,而不会再呆在机器中作者写龌龊事。
3、技术不够。这些写病毒的人,懂得写rootkit的人估计极少,结果在保护自己方面,比起某助手、某中文上网,甚至比起木马黑洞、灰鸽子来都不如。
4、以为和系统搭上边,就可以瞒天过海了。文件名取那些个什么system、expl0rer,iexpl0re、scvhost、spoclsv一类,服务名总加上M$、Windows和几个看上去吓人的名词,文件放在MSinfo、IE目录、回收站下,文件说明里写着M$ Corporation,。。。。。。这些完全是掩耳盗铃。现在已经出现很多熟悉NT构架和基本服务的人了,他们一看到此类以看似微软的名义出现在不应该出现的地方的东西,马上就会高度警惕。
5、目的不纯。此类下载者最终的目的就是下载盗号马、远控马,得到人民币。利欲面前,谁会去一门心思完美化、稳定化自己的下载者呢?这些下载者,没一个vista-compatible的,没一个能对付低权限的,甚至还有熊猫这样可能直接报错的。。总之这些东西,动机不纯,当然也不可能完美。
想骂的随便骂,反正老子现在脑子乱,说话疯疯癫癫的。
他们做了一堆BT的勾当:
1、持续性配置。Viking系的感染可执行文件,autorun,帕劳蠕虫的狡兔三窟。
这个是真正属于病毒的行为,自己想一下自己也会这么做。但是要能做到这个,就得有足够的权限,而且还得对付HIPS软件的监视。
2、打击安全类软件和安全措施。熊猫感染杀毒软件并尝试删除gho,帕劳蠕虫的IFEO劫持和ws2_32.dll目录,safeboot的噩梦,以及现在非常流行的改系统日期反卡巴法。
其实病毒作者如果自己技术够强,就完全可能彻底绕过那些个杀软而完全隐藏自己。但是他们反而将杀毒软件的运行环境破坏,这样已经背离了病毒应有的隐蔽性原则。病毒作者要么是出于虚荣心,要么就是出于对杀软深深的仇恨和恐惧,才将杀软作为直接攻击目标。如果让我去写下载者,我肯定会在完成任务后马上自毁,而不会再呆在机器中作者写龌龊事。
3、技术不够。这些写病毒的人,懂得写rootkit的人估计极少,结果在保护自己方面,比起某助手、某中文上网,甚至比起木马黑洞、灰鸽子来都不如。
4、以为和系统搭上边,就可以瞒天过海了。文件名取那些个什么system、expl0rer,iexpl0re、scvhost、spoclsv一类,服务名总加上M$、Windows和几个看上去吓人的名词,文件放在MSinfo、IE目录、回收站下,文件说明里写着M$ Corporation,。。。。。。这些完全是掩耳盗铃。现在已经出现很多熟悉NT构架和基本服务的人了,他们一看到此类以看似微软的名义出现在不应该出现的地方的东西,马上就会高度警惕。
5、目的不纯。此类下载者最终的目的就是下载盗号马、远控马,得到人民币。利欲面前,谁会去一门心思完美化、稳定化自己的下载者呢?这些下载者,没一个vista-compatible的,没一个能对付低权限的,甚至还有熊猫这样可能直接报错的。。总之这些东西,动机不纯,当然也不可能完美。
想骂的随便骂,反正老子现在脑子乱,说话疯疯癫癫的。
没有评论:
发表评论