防毒與放毒的戰爭

相信每一個人裝了防毒軟體卻還是中毒之後,一定會有這樣子的一個疑問?

而早在前年8月的 Download網路密技王No.5 裡面我就曾提到這一件事,相信這也是許多人心中一直解不開的疑惑!而這一切會變得這麼的複雜全是因為 散播病毒已經成為一種賺錢的行業

或許看過這些文章的讀者會認為:「你為什麼一直炒冷飯,難道就沒有新鮮的嗎?」很不幸的基於之前我所提的運作模式還不能被有效破解之前,用這樣子來散播病毒就可以賺錢,而且獲利還相當不錯,你說那些放毒的人會就此罷手嗎?

今天我就再用一些最近收集到的證據來好好說明一下,當然叔叔是有練的過的,你們知道方法就好千萬不要想要自己嚐試,因為結果一定是:中毒!

比誰比較新

現在防毒跟病毒一樣是隨時在更新,而且病毒的更新速度一定比防毒還快!也就是說放毒的人出招之後而防毒軟體公司才尋求攔截或是解毒的方法,長久以來遊戲一直都是這樣玩的,但是現在因為網路越來越發達,使得放毒的人可以透過網路來更新他的病毒程式,事情就變得更棘手了!

在以往新的病毒出來之後,可能要經過好幾天甚至幾個月之後才會傳到你的電腦,但是現在寫病毒的把新的病毒程式放在網路上,他一放上去「保證尚青」的病毒就送到你家了,所以就算你再小心也是可能中毒!

病毒下載程式

現在的病毒也都是透過一種下載機制來更新的,所以像是別人Email/MSN給你的檔案或是連結本身並不是病毒程式,它只是一個「下載器Downloader」,會去程式指定的 IP 位址下載最新的病毒程式,這樣子防毒軟體再厲害在有毒的檔案還沒進到你的電腦之前,是什麼都抓不到的!

而這個下載程式還會每一次下載不同檔名的病毒檔,或者是說病毒檔名現在已經無法作為有效判別的依據了,因為你下載回來的都是一些隨機的亂數檔名,去網路上查也查不到什麼資料的!

複雜的感染程序

我先說明一下這一系列病毒感染的步驟:他是一個由 Email 傳播的 Lnk 連結檔,同樣一個連結檔已經快一個月了,但是防毒程式都沒反應,當然你不去執行它也不會有事,但是如果不小心執行了這個連結檔的話,它會先在你的 system32 資料夾裡面生出一個 D.VBS 檔,再用一個 .bat 檔透過 cmd.exe 去呼叫這個 vbs 檔,然後從網路下載一個 d.exe 執行檔,再由這個執行檔生出一個隨機檔名的 .exe 檔,你看看已經每一次生出來的 .exe 檔名都不一樣:

現在請你看一下這三張防毒軟體記錄下的檔名,這是一套叫 Immunet 的雲端防毒軟體所記錄的,但是不是抓到哦!我只是利用它的記錄執行程式的功能來「監看」的,但是防毒軟體本身是沒有任何的警告或作為的,所以並不建議使用。

這是 titoy.exe

為什麼裝了防毒軟體還是中毒?

這裡又變成了 sblqu.exe

為什麼裝了防毒軟體還是中毒?

昨天又試了一次又變成了 camue.exe

為什麼裝了防毒軟體還是中毒?

剛出爐的病毒大家都投降

由於病毒太新了,大部份的防毒軟體都還不知道,所以像是用 Virustotal.com 線上查毒的網站所得到的結果都是慘不忍睹!

像這第一個 titoy.exe 只有 9/41 的偵測率(2/19測的)

為什麼裝了防毒軟體還是中毒?

而最新的 camue.exe 也是只有 9/42(3/9測的)

為什麼裝了防毒軟體還是中毒?

過了這麼多天所有的防毒軟體都沒進步嗎?非也!是病毒也同樣在進步,所以才會有這麼慘的結果!像是大家比較常用的卡巴斯基、小紅傘、AVG、avast!、NOD32等等都沒反應,這裡面大家比較知道的微軟以及Symantec賽門鐵克好像還不錯,而事實上表現最好的是 Dr. Web 跟 a-squared 這兩個防毒軟體,但是在台灣都沒有代理商,你只能透過網站去買,而售後服務想當然爾也是沒有!

但請不要以為用 微軟、賽門鐵克、Dr Web 或 a-sqared就沒事了,這只是我手上這個病毒樣本所顯現出來的結果,並不是目前所有的病毒偵測率都是這樣,而且這中間「偵測得到」跟「擋得住」又是兩種不同的境界,要真的擋得住才是高桿,請看以下的說明:

不同階段的攔截

上面的例子只是用最後一個 .exe 檔來比較,但是我不是前面有說明它的感染步驟了嗎?越早偵測到對你的電腦是越安全!

所以就算 avast! 偵測不到最後面生成的 .exe,它在第一步就把 D.VBS 攔截到也是能阻擋病毒的入侵。

為什麼裝了防毒軟體還是中毒?

或是 Comodo 在中間擋住了 d.exe 也是不錯!

為什麼裝了防毒軟體還是中毒?

怕就怕不但擋不住連防毒自己的更新程式也中毒了,以致於防毒軟體從此無法更新,如果你不去注意病毒碼的日期還不知道防毒軟體已經掛了!

為什麼裝了防毒軟體還是中毒?

防毒程式優先載入

接下來我們再來看病毒如何常駐在你的電腦中的,在以前很多是都是放在 Run 的開機執行機碼裡面,所以我也常教大家用安全模式掃毒或許可以掃掉,因為病毒在安全模式還沒載入。

但是現在病毒更厲害了,改在 Winlogon 電腦一開機就載入,或是掛載成系統的 Service ,這樣子就算你用安全模式還是無法逃離魔掌!

為什麼裝了防毒軟體還是中毒?

病毒會找替身

最可怕的是現在的病毒雖然已經藏身在記憶體了,但是你用各種方法還是找不到它的蹤跡,更別提要把它殺了!

像這個系列的病毒都會附身在系統檔案總管 Explorer.exe 之下,所以會發生你無法將檔案上傳到 Virustotal.com 去分析,而因為我知道病毒檔名是什麼,所以我可以用 Unlocker 來解除附身,才可以上傳分析。

為什麼裝了防毒軟體還是中毒?

但是你根本不知道病毒檔是哪一個無從下手,這真的是很慘!

結論

而事實上要破解這種「病毒工業」的運作模式,最有效的作法就是從他們的更新機制下手,因為更新的 IP 要寫在下載器中,如果能夠透過 ISP 的協助把這些病毒自動更新的 IP 給封鎖掉的話,應該是一個可行的辦法。

但是千萬不記住:要靠防毒軟體不如靠自己,自己先養成正確的防毒常識才是王道。至於文章中提到的各牌防毒軟體每一隻都有擋不住的情況,這裡面正好我對賽門鐵克的產品起了好奇心,而賽門鐵克正好又找到我幫他們測一下新版的防毒軟體,所以在最近就會有文章發表請大家要期待喔!