从5.1长假的第一天至今天(5月3日),3天内震荡波已经连续出现了4个变种。作为“震荡波”家族的最新成员,D型病毒有哪些改进呢?记者通过联系金山公司的反病毒实验室,将为您揭示震荡波D变种的秘密。
“震荡波”D变种和它的前三个兄长一样,核心思路是利用微软Windows操作系统的一个常驻系统服务的缓冲区溢出漏洞,通过TCP端口攻击其他网上的目标计算机。中招机器又成为新的毒源,如此引起多米诺骨牌效应的大面积传播。
但是通过分析震荡波D变种的几个改进,可以看出该病毒进化过程。首先,前三个变种释放的病毒文件和修改的注册表项都带有avserve字样(A型为avserve.exe、B/C型为avserve2.exe),新的D变种则成了skynetave.exe,这样能有效得防止用户识别病毒体。
D型病毒创建了互斥体SkynetSasserVersionWithPingFast来判断自己是否已经运行,从这个互斥体名称可以有趣的发现:病毒作者似乎希望病毒的攻击速度更快!似乎为了证明这一点,D变种将扫描的线程数从C变种的1024个又改回成128个,并且在连接目标机器之前,会先发送一个ICMP数据包测试目标机器是否可达。可见病毒作者在不断观察自己“作品”的实际效果,不断改进这个病毒,因此,D变种比C变种的传播效率更高,传播过程更隐蔽,传播效果更稳定。同时该变种在扫描的时候特意跳过了一些保留的IP,保证攻击的效率。
D变种在被“攻陷”的机器上的端口从前三个变种的9996改成了9995,以此逃避某些设置好防火墙端口过滤的用户。
幸运得是,这个新变种在改进自己的同时却又产生了新的BUG,导致它在某些版本的WinNT/Win2000系统上无法发作,会弹出如下错误信息:
金山反病毒实验室表示:其实病毒制作者们也同样在关注着流行病毒,暗中监视着各安全厂商的反应,不断增加新功能、提高稳定性和效率。这种与反病毒厂商“赛跑”的行为给病毒处理的及时性提出了更高的要求,这种“正义”与“邪恶”的智慧较量也会一直持续下去。
