各位網友大家好,歡迎大家再次來到賽迪聊天室,今天我們請到了金山毒霸高級工程師李鐵軍先生做客賽迪網,跟大家一起聊一聊關於病毒裏映像劫持技術的話題。首先第一個問題希望鐵軍幫我們講解一下這個病毒有哪些特點,另外就目前掌握的數據來看,比較早用這種技術的病毒是哪一個?
李鐵軍:
映像劫持技術本身是操作系統預知的用做調試的接口,2000年的時候就有人用這種手段***殺毒軟件。
主持人:
當時不像現在這麼普遍?
李鐵軍:
對,個別的病毒這麼做過,但影響力都比較小。
主持人:
目前掌握數據來看哪些早期病毒用過個技術呢?
李鐵軍:
已經很難查得到,因爲這個病毒感染力不大,沒有造成很嚴重的擴散,簡單的處理掉了,沒有對它進行深入的分析。
主持人:
爲什麼這次這個病毒這麼嚴重呢?
李鐵軍:
我們做AV專殺提供解決方案之前一個月左右發現這個病毒慢慢提升。我觀察論壇裏面這個現象在增加,我們的客服也報告殺毒軟件不能用,升級升不了,這樣的現象迅速增加。這時候遇到一個很麻煩的問題,普通用戶遇到這種情況電話指導他很困難。我們發現需要提供一種工具幫助客戶比較快的解決問題。這種情況下我們的專殺工具在增加,諮詢越來越多,肯定是有必要幫助用戶提供更快速的專殺工具。
主持人:
我也遇到過這樣的網友求助,確實在電話裏指導很困難。您給介紹一下映像劫持技術是怎樣的運作機理,它有什麼特徵呢?
李鐵軍:
它本身就是操作系統調試的接口,大家知道計算機任務管理器的進程一欄裏有一列叫映像名稱,映像劫持是跟這個對應的,這個映像被它定位到另外一個程序,結果下一次重啓的時候會發現它運行了另外這個程序。
主持人:
正常的都是跟它對應的程序?
李鐵軍:
對,路徑裏面都定義了,這個位置指到病毒所涉及的區域,正常的情況下就起不來了。這種是非常有效的,只要重啓馬上升效。
主持人:
爲什麼進入安全模式殺毒也殺不了呢?
李鐵軍:
首先映像劫持在安全模式下也是有效的,其次它把安全模式定義那項直接刪除了,你的系統啓動到安全模式就死了。破壞安全模式很早也有,去年有一個流氓軟件我們還命名爲“破壞安全模式”,主要目的就是不讓計算機啓動安全模式。
主持人:
近期哪些病毒利用了這個技術呢?
李鐵軍:
我們已經把它看作一系列的病毒現象,是多種對付殺毒軟件的招數都用在一個病毒上。我們分析的時候發現這個病毒和用戶自己遇到的總是有一點差異。比如病毒的進程名、文件名都是不一樣的,會發現很多人利用這種技術把這些病毒融合在一個技術裏,這就構成了AV病毒的現象,是一個現象,成了一個集合。
主持人:
現在是一個病毒趨勢,病毒作者都覺得這個挺好用的。
李鐵軍:
我們注意到網友用軟件的過程中只是發現殺毒軟件工作不正常,但是安全意識不是很強的用戶會發現電腦沒有任何異常,所以他自己用電腦都覺得跟其它沒什麼不一樣的地方。它不破壞文件,不會像蠕蟲病毒一樣發包,它就是不讓殺毒軟件工作。對系統性能影響非常小。
主持人:
早期有一些病毒也能關閉殺毒軟件,也是利用這樣的技術嗎?
李鐵軍:
不是,是盯着只要發現就通過系統命令關閉掉。
主持人:
網友有什麼方法可以區別出是中了IFEO病毒呢?
李鐵軍:
機器會出現一系列的現象,比如進入不了安全模式,殺毒公司網站訪問不了,“殺毒”、“***”、“專殺工具”之類的文字一在某個窗口出現這個窗口就被關掉,這都是典型的現象。
主持人:
![]()
只是在普通的文檔裏出現這些文字,出現文字的窗口也會關閉是嗎?
李鐵軍:
對。我們研發部有一個QQ羣幫用戶解決問題,原來叫殺毒羣,中毒用戶一點這個羣進去QQ就被關閉了。名稱得改才能防止***。我們提供了一些解決方案,想提供給真正中毒的用戶幫他解決問題是比較難的。因爲他已經中毒了就需要通過一個正常的電腦我們指導他去操作。我們專殺工具發佈以後很困惑,到底該怎麼推給用戶呢?我們在瀏覽器標題欄這一頁跟“殺毒”有關的字都過濾掉,同時我們儘可能的用圖片、不用文字,通過這些方法來防止病毒的破壞。
Ctrl+Enter 發佈
發佈
取消