第80章 对策（2/2）

南大机房和极速网吧，这可是悦客卫士目前的两个核心阵地，也是区域网环境最复杂的地方。

“把样本特徵调出来，我想看看这是个什么鬼东西。”

张大伟敲了几下键盘，调出了其中一个被拦截样本的十六进位代码视图，並且尝试用虚擬机还原了一下它的图標。

屏幕闪烁了一下。

一个图標跳了出来。

那不是常见的黄色文件夹图標，也不是系统默认的应用程式图標。

那是一只熊猫。

一只憨態可掬、黑白分明，手中却举著三炷香正在作揖的卡通熊猫。

2006年年底至2007年初，这只看似人畜无害的熊猫，將把整个中国网际网路变成一片火海。

它不仅感染文件，还具有蠕虫的传播特性，所过之处，寸草不生。

上一世，瑞星、金山、卡巴斯基在它面前一度束手无策，无数网民对著满屏幕的烧香熊猫欲哭无泪。

它终於不再是零星的试探，而是开始成规模地渗透了。

“这是哪家公司出的新流氓软体？想要占领桌面卖萌？”

“別动！”陈时一把按住他的手.

“这不是流氓软体，这是蠕虫。而且是带有强烈破坏性的蠕虫。”

“蠕虫？”

刚刚推门进来的周凯正好听到了这两个字。

周凯把凑到屏幕前。作为內核级的高手，他一眼就看出了这个pe文件结构的异常。

“delphi写的壳。”周凯皱眉。

“加了upx压缩，但文件头被人为修改过。这玩意儿在尝试注入系统进程，而且……它在扫描区域网埠。”

“不仅如此。”陈时指著代码中的一段。

“看这里，它在修改註册表。”

“臥槽！”周凯骂了一句。

“这孙子想干嘛？它把所有杀毒软体的进程名都写进了ifeo，指向它自己？也就是说，用户想打开瑞星，结果打开的是病毒？”

“对。这就是它的高明之处。”陈时冷静地分析道。

“听著，这个病毒的核心逻辑有三点，你们必须记清楚。”

陈时隨手拿起马克笔，在白板上画了一个熊猫头像。

第一，感染逻辑不仅仅是寄生。

“普通的病毒是把自己藏在文件里。但这只熊猫，它会把系统中所有的.exe、.scr、.pif等可执行文件全部感染。”

“它不只是依附，它是篡改。它会把自己的代码写在文件头部，把你原来的程序挤到后面去。这就导致了一个现象：图標全变熊猫，文件大小变大。”

第二，口令爆破。

“为什么它在网吧和机房爆发？因为它內置了一个弱口令字典。它会扫描区域网里所有开启了共享的电脑，尝试用admin、123456这种密码去登录。”

“一旦进去，它就把自己复製过去，並利用自动播放机制，只要你一点开共享文件夹，或者插入u盘，你就中招了。”

第三，对抗逻辑。

“它会主动搜索並终止所有安全软体的进程。瑞星、金山、卡巴斯基，只要在它的黑名单里，露头就秒。而且它会刪除系统备份文件，让你连还原系统的机会都没有。”

听完陈时的分析，研发室里一片死寂。

“时哥……”张大伟咽了口唾沫。

“这玩意儿这么凶？那我们的悦客卫士呢？能防住吗？”

“现在的版本？防不住。”

“我们的驱动主要是针对流氓软体的弹窗拦截和主页锁定。对於这种暴力修改文件头和映像劫持的底层攻击，我们的特徵库是空的。一旦中招，悦客卫士也会变成一只烧香的熊猫。”

“所以，我们要升级。”