"磁碟机"成为新毒王 查杀难度超过熊猫烧香

“磁碟机”病毒近日在互联网引起轩然大波，由于病毒严重侵害了众多企业和个人用户电脑系统，引起了全国电脑用户的一致声讨。随着国内老牌反病毒厂商江民科技率先举起“全国追杀磁碟机”的旗帜，越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列，打响了又一场反病毒大战。 去年的“熊猫烧香”病毒大战人们记忆犹新，因为病毒在电脑里面生成了很多举着三柱香的熊猫图案，一度引起全国电脑用户的议论和恐慌。然而，“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆，但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”， 江民科技反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析，从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。 一 、传播途径。“熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。 “磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。“磁碟机”也可以通过U盘和网页挂马传播。 二、反攻杀毒软件能力。“熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭。 三、自我保护和隐藏能力。“熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。 四 、病毒变种和自我更新速度。“熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。江民反病毒专家怀疑“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也可以瞬间自动完成更新。 来源：http://netsecurity.51cto.com