流氓和病毒有多少不一样
周末有个记者朋友要拍摄关于木马和病毒行为的演示,为了简单的把木马行为表现出来,就想到最经典的远程控制工具——冰河。遂google一下,从天空网站下载了冰河8.4。一时找不到测试机,想想不过是小小的冰河,还能把我怎样,不料,就这个简单的病毒测试,让我大跌眼镜。
我在另一台机器上跑了服务端,然后,关了杀毒软件的文件监控,在工作机上跑客户端。双击G_CLIENT.EXE后,我立即后悔了*_*,因为发现除了控制端启动外,还弹出了个程序出错的窗口,我立即意识了,这客户端捆绑了别的东东。
拍摄完毕,立即查一下都发生了哪些改变。首先用杀毒软件扫描内存,没有发现病毒。检查控制面板→添加删除程序,发现安装了CNNIC插件、Dudu下载加速器,作为专业人员,我当然不能容忍,立即卸载了CNNIC插件和Dudu下载加速器。经分析,果然发现了更多的启动加载项和IE插件。但是很快我发现问题不是这样简单,清除几个可疑加载项后,系统还是会弹出广告。清除这些流氓软件还不是小菜,立即下载流氓软件清理助手,结果检测到。
我把这个样本转给从事病毒分析的朋友,结果更让人吃惊,在这个大小为2M的程序中竟然捆绑了多达13个程序,其中广告流氓插件6个。这里,给大家看个列表:
IEHelper
DuDu
网络猪
化词搜索
Desktop Media桌面传媒
傲讯广告插件
作为从事网络安全的专业人员,当然清楚如何保护自己的系统,也看到过流氓软件利用病毒手法传播的报道,自己测试病毒时被流氓软件骚扰还是第一次。也更多的看清了流氓软件的丑恶嘴脸,不管CNNIC这类垃圾如何为自己辩解,我所测试的这个病毒,其传播者应该是从CNNIC们那里获得实实在在的利益了,或者本身就是这些丑恶的商业公司自己在利用病毒传播。
因为是商业公司在传播流氓软件,反病毒厂商通常不能在自己的商业软件中直接清除这些流氓软件,以避免法律纠纷。对于我来说,即使除CNNIC之外的所有搜索引擎一夜之间全死光,我宁用记事本把经常要去的URL全记录下来,也不会去用CNNIC。同样,即便网络从此慢到龟速,也不会去让Dudu的破加速器进入我的电脑。