返回
揭秘“av终结者”病毒的生态链

揭秘“av终结者”病毒的生态链

ID:20182093

大小:51.00 KB

页数:3页

时间:2018-10-07

揭秘“av终结者”病毒的生态链_第1页
揭秘“av终结者”病毒的生态链_第2页
揭秘“av终结者”病毒的生态链_第3页
资源描述:

《揭秘“av终结者”病毒的生态链》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、揭秘“AV终结者”病毒的生态链~教育资源库  论坛中有关AV终结者病毒的咨询,仍然在继续增长,原来我还以为这个病毒中了之后,用户会很快发现杀毒软件工作异常,然后就会想办法去处理掉这个病毒,病毒的隐蔽性就不会太强。但事实不是这样的,多数用户对杀毒软件不能正常工作并不觉得有异常。因为,此时系统的其它功能基本不受影响,病毒也不会影响系统性能或影响网速。以致于已经中毒的系统还可以申请远程协助,以完成手工杀毒操作。  我在思考另一个问题AV终结者病毒,是否和熊猫烧香一样,是盗号集团的杰作??  首先来看一下AV终结者病毒程序本身设计的传播功能程序自身仅能

2、通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒,如何能引起这样大规模的传播呢?仅仅靠病毒程序的自然衍生,显然不能做到这一点。那么,这个病毒极可能是人为操纵的结果。  那么AV终结者病毒,最开始是通过什么途径入侵的呢?这个病毒后面是不是还隐藏着更多的迷?  在AV终结者之前,有两类病毒值得我们去关注,一是Risk.exploit.ani病毒,是利用ANI漏洞广泛挂马。另一类,是利用ARP欺骗,劫持整个局域网会话,被劫持的局域网电脑用户访问任何网站都会同时从16.us站点(还有更多的下载站)下载木马。  和熊猫烧香病毒案比起来,AV终结者表

3、现得更加隐蔽,该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个AV终结者病毒传播链条之复杂程度,远超过熊猫烧香。AV终结者病毒已经具备了企业化、公司化运作的特征。AV终结者病毒传播链接大致包括以下三个阶段。  第一阶段:传播AV终结者病毒  最快速有效的传播手法,是通过攻击企业公共服务器(通常是IDC机房托管的服务器),攻击成功后,直接在服务器上植入木马,再利用ANI漏洞迅速传播。不仅如此,攻击者还会在被攻陷的服务器上植入ARP攻击程序,成功将挂马成果扩大到整个机房。类似的手法,可以在攻入企业内部网后,发起ARP攻击行为,迅速让挂马现象在整个公

4、司网络中漫延。  另一种作法更直接,直接把制作完成的AV终结者病毒通过U盘,在网吧等公共上网场所人为传播。方法很简单,到目标机器上插一下U盘就办到了。  第二阶段:AV终结者病毒活跃期  AV终结者病毒成功入侵后,几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持,关闭dash;就是迅速令中毒系统丧失安全防范能力。  第三阶段:木马活跃期  经过前一阶段的准备,AV终结者成功的让中毒的电脑系统完全丧失安全防范能力。然后,病毒内置的下载器功能大显身手,数10种不同功能的木马后门程序通过AV终结者病毒下载到已经中毒的电脑上,这些木马后门

5、程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况,要取决于木马控制者的喜好。  为何判断这是盗号集团在企业化公司化运作?  理由是,在上面AV终结者病毒发展的三个阶段中,任一阶段均使用了多种不同的病毒和攻击手段,病毒不再是单打独斗,而是发展到协同作战的程度。其复杂度体现在:传播阶段的手法多样性;入侵后对抗杀毒软件技术的复杂性;木马收获阶段,几乎面面俱到,无所不拿。综合这些特点,很难想像,一个人或者仅仅几个人如何去完成这种复杂的任务。  谁在指挥这个复杂的利益链?  答案当然是受益者,AV终结者病毒会自动连接到一些服务器下载各种木

6、马,这些服务器成为整个利益链条中的聚合器。那么,拥有或控制这些站点的人,应该是AV终结者病毒利益链中最直接的受益者。  我们分析了部分AV终结得病毒的下载站,发现变种不同,下载站也会有所区别。这里仅公布其中一个下载站的信息:  ainName:100000000000000000000000000000.  ROID:20070314s10001s35110810-  DomainStatus:ok  RegistrantOrganization:蓝色精灵  RegistrantName:蓝色精灵  AdministrativeEmail:sh

7、enzhenkejihotmail.  SponsoringRegistrar:北京新网互联科技有限公司  NameServer:ns1.dns..  NameServer:ns2.dns..  RegistrationDate:2007-03-1418:27  ExpirationDate:2008-03-1418:27  一个叫蓝色精灵的组织在2007年3月14日使用shenzhenkejihotmail.注册了100000000000000000000000000000.域名,有一个AV终结者病毒的变种从这个站提供了大量的木马下载,拥有这

8、个站点或控制这个站点的人,有重大作案嫌疑。  熊猫烧香的李俊落网了,李俊肯定不会是唯一的,下一个会是谁呢?友情提醒:,特别!

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。