"木马"围攻用户 反病毒专家披露幕后真凶

近日，关于“AV终结者”病毒的讨伐声不断，大量用户深受该病毒的侵害。昨日，反病毒专家再次指出：“AV终结者”的危害才刚刚开始。反病毒专家戴光剑表示，这个被称为史上最牛的木马下载器的“AV终结者”病毒，其最大的危害并非病毒本身，而是引发了新一轮木马病毒的泛滥。

　　据悉，“AV终结者”病毒已经在互联网上肆虐数日，然而由于该病毒的隐蔽性极高，大量用户甚至感染了该病毒也毫无察觉。而用户电脑的安全系统就是在不知不觉中被彻底破坏，电脑完全处于“裸奔”状态，而此时面对大量鱼贯而来的木马病毒，用户的电脑已经失去了任何“抵抗力”。

　　用户刘先生有玩网络游戏的习惯，每天下班后都会玩上2个小时。“昨天我刚刚的登陆到游戏，发现自己辛苦赢回来的游戏装备全部不翼而飞，里面还包含了一些价值万元的高级装备。”而后，刘先生企图通过QQ向好友求助，结果发现连QQ也无法登陆。

　　根据刘先生的描述，金山毒霸反病毒工程师们的第一反应就是刘先生的电脑被植入了木马病毒。然而经过进一步查看，发现刘先生电脑内的杀毒软件根本就没有被开启，也就是说刘先生的电脑完全是一台“裸机”，此种现象引发的工程师的高度重视，经过仔细分析，“AV终结者”病毒浮出水面。

　　为了帮助刘先生清除电脑内的病毒，金山毒霸反病毒工程师首先在一台正常的机器上登陆www.duba.net下载了一个“AV终结者”专杀工具，而后通过U盘连接到刘先生的机器上，几分钟后，“AV终结者”被清除。工程师重新启动杀毒软件进行全面查毒，结果查杀结果让刘先生瞠目结舌，竟然在自己的电脑内查出68个木马病毒。

　　反病毒专家戴光剑表示，“经济利益”毫无疑问已经成为病毒制造者最大的驱动力，而木马正是实现这一非法得利的主要手段。在06年截获的各类病毒中，专门盗取网银、网游等网络财产和QQ号的木马占了51%，这类病毒相对去年有明显增长，已经成为众多网民面临的第一大威胁。

　　业内人士指出，病毒制造者已经不再是以炫耀自己的技术为目的，也不再是单打独斗，而是结成了团伙，有的人负责盗取银行或网游帐号，有的人负责销赃，从而形成了一整条的黑色产业链，如果任期发展下去，整个互联网安全将面临严峻威胁，因此反木马已经成为各大反病毒厂商的首要任务。

AV终结者是一种什么病毒?

近日，国内各反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，其特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作极其困难。目前，金山反病毒中心将该病毒统称为“AV终结者”，瑞星反病毒中心将该病毒称为“帕虫”，江民反病毒中心将该病毒称为“U盘寄生虫”（本文都将其称为“AV终结者”）。截止到昨天，其变种数已达500多个，波及人群超过10万人。







★病毒发作时

四步可使电脑彻底崩溃

据了解，6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

1.禁用所有杀毒软件及相关安全工具，让电脑失去安全保障；

2.破坏安全模式，致使用户根本无法进入安全模式清除病毒；

3.强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登录，用户无法通过网络寻求解决办法；

4.格式化系统盘重装后很容易被再次感染。



用户格式化后，只要双击其他盘符，病毒将再次运行。

此外，经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到拥有病毒的网站，并自动下载数百种木马病毒，各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。

★感染病毒之后

常用杀毒软件无法查杀

同时，记者从瑞星反病毒中心了解到，瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示：“该病毒采用了多种技术手段来保护自身不被清除，例如，它会终结几十种常用的杀毒软件，如果用户使用google、百度等搜索引擎搜索‘病毒’，浏览器也会被病毒强制关闭，使得用户无法取得相关信息。尤为恶劣的是，该病毒还采用了IFEO劫持（windows文件映像劫持）技术，修改注册表，使QQ医生、360安全卫士等几十种常用软件无法正常运行，从而使得用户很难手工清除该病毒。”

此外，据瑞星反病毒专家介绍：“该病毒通过映像劫持技术，将大量杀毒软件‘绑架’，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件（包括U盘），从而使得通过U盘传播的概率大大增加。同时，由于每个分区上都有病毒留下的文件，普通用户即使格式化C盘重装系统，也无法彻底清除该病毒。”