“自动播放”已成为黑客入门首选试金石(1)
随着“AV终结者”的肆虐,“自动播放”类病毒逐渐被广大电脑用户所熟知。据微点反病毒专家介绍,“自动播放”类病毒的传染能力较强,而病毒编写难度却很低,只需一个简单的autorun.inf配置文件,即可完成病毒传播。而该配置文件的内容更是可以在互联网上方便获得,甚至将“病毒前辈”所用的autorun.inf直接复制过来就可以完成病毒传播。
微点主动防御软件近期自动捕获一系列自动播放类病毒,大多设置多种感染方式,以达到欺骗用户、传播病毒的目的。例如,被命名为“Worm.Win32.VB.ot”的蠕虫病毒,除利用感染全盘文件和自动播放等常规“作案”手法外,还采用了多种技术手段试图通过较为“人性”的启动方式将病毒传播能力进一步扩大化,该病毒没有采取常见的注册表启动项 Run键值来进行病毒的自身启动,而采用了随系统关键进程Winlogon.exe启动的手法来隐匿自身行踪;针对大部分用户有意识关闭自动播放功能以防治病毒感染的情况,该病毒为了确保自身传播效果,采用修改注册表相关项,强行开启系统自动播放功能;同时该病毒还通过修改右键菜单中WinRAR压缩命令的关联进程来藏匿自身,也就是说,病毒会将WinRAR压缩命令的功能选项进行替换,使得用户在使用右键压缩文件时便会激活病毒运行。
微点反病毒专家提醒广大用户,采取设置停止“自动播放”功能并非防范此类病毒的有效手段,采用主动防御技术是目前最为有效的防护手段,建议广大用户安装使用带有主动防御 能力的安全软件。
另据微点反病毒专家介绍,从技术角度分析该病毒并没有多么高明,但是对“社会工程学”技巧的应用使得该病毒的传播能力成倍增加。病毒恰恰是利用普通用户的疏忽大意和普遍使用习惯,巧妙地实现了自动运行,将自身传播能力最大化。社会工程学技巧的运用,使得用户在自以为有“保护”的状态下被感染上病毒。微点反病毒专家称,目前这个病毒本身尚不具有特定的牟利色彩,用户中毒后也没有很明显的中毒症状,某种程度上更像是一种病毒在做全面地感染传播测试,但黑客后续是否会采取这种恶意方式进行“破坏”,是值得用户密切关注的。建议广大用户使用具有主动防御能力的产品进行防范,主动防御安全软件可以在未升级的情况下对病毒做到很好的查杀效果。(如图1、2)
