在受害用户、安全厂商以及媒体的齐声喊打之下,牛年的“犇牛”木马却仍未停止作恶。截至2月15日,“犇牛”木马及其变种在360安全中心木马查杀榜仍高居榜首,日均查杀量始终在200万次以上,累计感染电脑量已接近200万台,俨然成为近一年来国内木马的“带头大哥”。
据360安全专家石晓虹博士介绍,“犇牛”的早期版本出现在去年8月份,还曾被黑客在博客中公开贩卖过。它的特点与一款名为“中华吸血鬼”的木马完全一致,两者的反汇编代码也具有很高的相似性,因此可以判断,“犇牛”是由获得‘中华吸血鬼’源代码的黑客改写,业内一般称之为‘中华吸血鬼’变种。
据了解,“中华吸血鬼”是由重庆市一个名为“黑网之神”的黑客所作,不仅打出“好病毒,中国造”的广告,更是扬言“饿死杀毒软件商”。不料他的如意算盘仅打了短短两个月,自己就因涉嫌制作、传播计算机病毒破坏性程序被当地警方抓捕,时间是2008年7月,“中华吸血鬼”的源代码却已流传在网络之中。
石晓虹博士表示:“以‘中华吸血鬼’源代码为蓝本改编的“犇牛”雏形当时并没什么威胁,不仅自我保护能力不强,传播量和处理的技术难度都很低,对一般的安全软件来说,基本上分析完样本后再入病毒库就可以解决。然而,在逐渐集成了‘“熊猫烧香”’、‘磁碟机’、‘机器狗’、‘AV终结者’等多种恶性木马下载器的技术后,爆发在牛年春节的‘犇牛’开始成为网络的最大危害。”
经过360安全中心的分析,“犇牛”在“中华吸血鬼”全局劫持dll文件、感染多种类型压缩文件的基础上,又综合了“熊猫烧香”在网页文件插入“网马”、局域网主动攻击等技术,此外还有“磁碟机”式自我更新、“AV终结者”式强制关闭面板控件、“机器狗”式穿透还原卡的驱动技术、U盘病毒的伪装和传播手段,同时融合多种木马的主流技术,而且“犇牛”还在进一步更新,加入其下载队伍的木马病毒也越来越多,其中又以能迅速将受害用户转化为收入的广告类木马为主,包括近期泛滥的“广告炸弹”木马,它频繁弹出伪造的“百度警告”,恐吓网民“电脑因感染超强木马将高温爆炸”,从而进行流氓式推广。
石晓虹博士提醒广大网民不能轻易放松警惕,“犇牛”及其变种正在上演着最后的疯狂,妄图加紧狠捞一笔。国家计算机网络应急技术处理协调中心2月11日发布的《关于警惕“犇牛”木马下载器广泛传播的公告》指出,从2月1到10日已有66万个IP地址感染“犇牛”,号召受害网民参考使用360安全中心官方网站提供的专杀工具进行查杀。(公告链接: http://www.cert.org.cn/articles/bulletin/common/2009021124201.shtml )