“AV终结者”木马黑色产业链条的典型
“AV终结者”木马黑色产业链条的典型
自上周国内各反病毒企业纷纷对电脑病毒“AV终结者”发出安全预警之后,昨日《每日经济新闻》获悉,这个被称为“安全杀手”的电脑病毒“AV终结者”目前的变种数量已超过500余个,波及用户达数十万。金山毒霸全球反病毒工程师戴光剑甚至认为,“AV终结者”的种种表现以及传播和作案手段显示出其背后集团化、企业化运作的痕迹,有人为纵毒的可能。
据了解,“AV终结者”侵入电脑后,将封锁电脑所有安全防护途径,并放进各种木马程序,而用户对此毫无知觉。此病毒可通过U盘等移动存储设备进行传播,以及通过攻击企业的服务器让挂马现象在整个企业网络中迅速蔓延。戴光剑认为,该病毒的整个传播和作案过程是经过精心策划的。
反病毒专家指出,在U盘这类传播渠道,病毒的幕后集团操纵或买通了部分人将写好的病毒程序拷贝到U盘或移动硬盘上,然后到网吧等公共上网场所将这些移动存储设备插入电脑,导致电脑使用者在不知情中再通过移动存储设备将该病毒的传播范围进一步扩大;而在攻击企业服务器的渠道中,病毒的幕后集团进行了分工,有专人负责攻击企业服务器,另一拨人直接在服务器上配置利用ANI漏洞传播的病毒挂马,第三拨人则将这种挂马行为扩大到该服务器托管机房中的其他服务器上。
戴光剑指出,“AV终结者”病毒的目的很明确,就是将用户的系统彻底变成“聋哑人”,继而给木马病毒打开大门,实施作案行为。戴光剑认为,其背后没有一个计划周密的公司或集团显然是无法做到的。
资料显示,“AV终结者”先将用户的windows防火墙、自动更新、杀毒软件等全部干掉,并使含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”等字符串的软件和进程,以及与此有关的网站无法打开。此后,“AV终结者”病毒将从http://head.bodyhtml.biz/update/update.txt等地址下载数百种盗号木马、广告木马、风险程序等,由此盗窃QQ号码、盗取网游帐号和装备的、盗取网银帐号等,形成一条完整的木马黑色产业链条。据国家计算机网络应急处理中心统计,包括这些木马在内的整个木马黑色产业链条的年产值已超2.38亿元人民币,造成的损失则超过76亿元。