【赛迪网-IT技术报道】近期,一个的破坏力极强的病毒PE_PAGIPEF(磁碟机病毒)正在广泛流行。据趋势科技网络安全监测实验室的安全专家介绍,“磁碟机”病毒从2007年2月被发现以来,一直以每天都有新的变种出现,病毒作者在长达一年的时间内,吸纳了最近一年流行病毒“熊猫烧香”,“AV终结者”,“机器狗”等采用的病毒技术,近期,最后终于大爆发,引起大家高度关注。
趋势科技安全专家特别指出,该病毒之所以引起轩然大波是由于其采用的反-防病毒技术。病毒一上来就对众多流行的杀毒软件实施”脑叶切除手术”,它利用释放的一个Rootkit组件即一个名为NetApi000.sys的驱动切除了众多杀毒软件采用的系统监控和行为技术,使得杀毒软件失去监控和主动防御能力,形同虚设。趋势科技网络防毒墙8.0和TIS2008产品中集成的针对Rootkit型病毒特有的True API专利技术可以有效突破病毒采用的这种伎俩。
趋势科技安全专家进一步指出,该病毒为了彻底封锁杀毒软件,还对杀毒软件实施了”截肢手术”,病毒会删除流行杀毒软件的实时监控服务和主控程序的自启动项。此前,还有发现过(如AV终结者病毒)会删除杀毒软件核心或病毒特征库。此外,磁碟机病毒还试图追杀和”麻痹”流行杀毒软件,它会搜索跟杀毒软件和安全工具有关的进程窗口,找到就会对其发动DDOS攻击,发送大量的消息给该程序,使其无力回应和反击,相当于在乱刀之下被’砍死”。趋势科技网络防毒墙8.0和TIS2008特有的进程watchdog技术和退出需要密码确认的机制可以缓解病毒对防毒系统的冲击。
据趋势科技网络安全监测实验室统计,趋势科技的广大用户并没有遭受最近两大施虐病毒磁碟机和机器狗的太大困扰。事后研究表明,趋势科技网络安全监测实验室针对中国区流行病毒研制的通用清除技术(Generic Clean)和U盘病毒防御方案,在本次“磁碟机”病毒的防护和清除过程中发挥了巨大作用。据悉,Generic Clean技术是一种针对病毒的通用清除技术,该技术可以大大增强对病毒的清除能力。客户一旦中毒,趋势科技产品就会自动调用该组件,在无需专杀工具的情况下,第一时间自动防御和清理病毒对系统造成的损害。
此外该病毒还会从Internet下载木马病毒群,实施游戏账号偷盗和自我升级。同时这些病毒还会对企业用户的内网发起ARP欺骗攻击,导致全网感染和内外网通信中断。针对此类ARP欺骗现象可以使用趋势科技的网关防毒墙产品NVWE2.0有效进行防护。最新的NVWE2.0新增了多项受到用户广泛好评的新功能,如:支持Vista、实时检测最新防毒产品版本、实时防毒产品状态检测、支持HTTPS的重定向等,其中预防、阻止及清除ARP攻击的功能,可以避免“磁碟机”病毒及其他ARP病毒在局域网内爆发而导致的网络瘫痪。
最后,我们还要强调的是,磁碟机所采用的反-反病毒软件技术是一个目前病毒发展的流行趋势,还会被后续的众多病毒所吸纳和采用,这给安全业界敲响了警钟,杀毒软件需要在提高杀毒能力的同时兼顾自我防护能力。所以,消费者购买安全产品时不妨也将这个因素考虑在里面。
(责任编辑:李磊)
