“百变金刚”(Win32.MetaPHOR.v1B)病毒档案
“最变化多端”的病毒来了!你曾经经受过CIH的危害吗?曾经领教过“红色代码”的传播速度吗?这次的“百变金刚”(Win32.MetaPHOR.v1B)带给你的后果决不亚于它们,因为它不停变化的伎俩会令大多数反病毒软件感到“头晕脑胀”!
病毒名称:Win32.MetaPHOR v1B
病毒别名:“百变金刚”
病毒类型:系统病毒
传播方式:文件
发作时间:3、6、9、12月的17号
警惕程度:★★★★
病毒介绍:
这个“百变金刚”可谓来头不小,它是国外最知名的病毒组织“29A”的最新“成果”,这个病毒组织继培育了“红色代码”、“本.拉登”等恶性病毒后,对这次的“百变金刚”可谓煞费苦心。
发作现象及解决方案:
“百变金刚”感染目标为系统中所有可执行文件(.EXE)。当用户运行某个已被感染的文件时,病毒即刻启动,但并不发作,只对一个名为exitprocess的系统函数(程序执行关闭操作的重要函数)进行修改,而当用户将被感染的文件关闭的同时,病毒会立即发作!它会把自身的病毒代码覆盖在被感染文件上,造成大量被感染的.EXE文件无法正常运行。
更为诡异的是该病毒可以对自己先压缩,再放大,它的长度与代码的变化毫无规律可言。另外在病毒发作后,系统会弹出对话框,其内容将由以下文字组成:"MetaPHOR v1 by The Mental Driller/29A",与以往病毒不同的是,这段文字中的单词顺序会随机产生,并不固定。以上的特征都说明,制作者对该病毒的病毒代码技术进行大幅的改进,以不固定的代码去实现不确定的破坏。这对于那些依旧利用“病毒特征码”技术进行病毒查杀的软件来说可谓是灭顶之灾,因为“百变金刚”毫无特征可循,只有依靠病毒自身的发作行为及演变趋势进行衡量判断,才可以进行有效查杀,因此“行为判断”技术才是它的克星。
除此之外,“百变金刚”为了躲避反病毒软件的捕杀,所以它对大多数反病毒软件的主程序进行回避,也就是说如果可执行文件中含有如下字符,病毒将不会对其进行破坏:SCAN、SCN、Vir、V。同时,可能病毒制作者是巴勒斯坦爱国人士,所以对于近日的中东局势也“颇为关注”,如果用户的系统是阿拉伯语,系统日期是5月14日,用户一开机就会出现"Free Palestine!"(自由,巴勒斯坦!)的对话框。
拥有“行为判断”技术的“瑞星杀毒软件2002增强版”能够让您面对“百变金刚”时高枕无忧,同时全新的“增强型邮件监控系统”,将全面解除您对邮件病毒恐惧。在此,我们郑重建议用户能及早安装和使用优秀的反病毒软件,如瑞星等,定期予以升级与更新,并注意时刻开启实时监控(防火墙)功能,严防病毒入侵。
瑞星公司瑞星杀毒软件在每周四定时升级,本周将升级至14.04版,新增可查杀病毒59个,请用户及时升级手中的杀毒软件,有问题请登陆http://www.rising.com.cn或致电010-86243236以获得瑞星公司专业人员的帮助。