病毒猎手的故事

对于防范黑客和恶意软件的安全专家来说，工作中的情景有时就好像一部惊险片，很多时候为了完成任务，他们必须绞尽脑汁。

相对于普通人平淡无奇的一天来说，作为病毒猎人的安全专家们每一天的工作都充满了刺激，当电脑出现了异常现象时，他们必须通过蛛丝马迹尽可能快地查出原因，追踪罪犯并找出解决的方法。CHIP访问了趋势科技（Trend Micro）、卡巴斯基（Kaspersky）和诺曼（Norman）的专业人士，与他们并肩作战，通过4个典型的案例让大家了解网络犯罪分子是如何获取非法利益、如何侵入医院和医疗系统甚至使整个工业生产线瘫痪的。

事实表明，任何系统都可以被攻击，而且很多时候清除病毒的工作非常困难，越复杂的系统在感染病毒之后，修复起来也越困难。类似Conficker这样的蠕虫病毒，虽然年代久远，但即便对于经验丰富的专业人员来说，清除它们也仍然是一种挑战，安全专家必须对病毒有足够的了解并需要花费很多的时间才能清除这种病毒。因而，对于个人用户来说，在条件允许的情况下重新安装系统，往往是最明智的选择。另外，安装一个最新的安全防护软件可以抵御大多数的威胁，这无论是对普通的家庭用户还是对系统极其复杂的商业用户来说均同样适用。

彻底崩溃的个人电脑

系统莫名其妙地重新启动或无法启动通常与恶意软件有关，对于一个IT门外汉来说，电脑似乎已经无可救药。

卡巴斯基的病毒猎人正在排查一台电脑的故障，其主人认为它存在硬件故障，因为电脑的症状相当典型，开机的时候出现蓝屏。是电脑主板存在故障吗？虽然对于类似的故障，恶意软件通常是第一嫌疑者，但是恶意软件通常不希望让系统彻底地瘫痪，特别是对于现如今以获取经济利益为目的的恶意软件来说，一台无法启动的电脑是没有任何利用价值的，不会带来任何利润。恶意软件的设计者总是希望自己的程序能够在被感染的电脑上尽可能长久地潜伏下去，并且传播到更多的系统上，实现悄悄地在后台窃取用户的银行账户、信用卡信息或者发送垃圾邮件的目的。因而，他们会希望电脑能够继续工作，而不会给电脑系统造成任何明显的损害。

病毒猎人插入一个闪存盘，尝试启动一个Linux Live系统对电脑进行检测。但是USB端口似乎无法正常工作，尝试通过DVD驱动器启动也同样徒劳无功。如果是一个IT门外汉，现在或许已经束手无策了，不过，专业人员还可以通过PXE服务器以无盘工作站的方式启动电脑，并使用最新的病毒检查软件扫描系统。结果令人震惊的是，该电脑的系统已经被病毒完全接管，病毒采用TDL 2 Rootkit技术，修改了硬盘引导扇区在电脑启动时的自动加载项。与此同时，电脑上还有许多其他的病毒，不过，这当中大部分并没有实际破坏力。

感染：病毒泛滥成灾，按安装次数付费（Pay Per Install，简称PPI）的软件推广模式是背后的推手，恶意软件的设计者能够通过该模式，让更多的黑客帮助他们将软件安装到更多的电脑上，与此同时，也能够在成功控制一台电脑之后，通过在被感染系统上安装其他的PPI软件获得经济利益。PPI类似于一种加盟计划，最初被应用于广告领域，随之而来是许多软件也采用这种推广模式，例如在安装一些免费工具软件时，安装程序将推荐安装雅虎工具栏之类的软件，如果用户同意安装，免费软件的设计者将能够从中获利。而现如今这种模式已经被病毒开发人员和其他网络犯罪分子所利用，通过PPI模式他们可以携手合作，通过攻击和控制其他人的电脑赚取金钱。

如果一个网络犯罪分子准备建立一个僵尸网络，那么他可以利用PPI平台进行发布，通过PPI平台他可以很快地控制足够多的电脑，建成僵尸网络为其赚钱。而通过搭建PPI平台赚钱的网络犯罪分子，则致力于传播恶意软件，让更多受害者在不知情的情况下将软件安装在自己的电脑上。通常，恶意软件与正常的软件捆绑可以更快地进行散播，不过，将捆绑后的软件上传到软件下载站点和借助P2P网络传播已经没那么容易了，网站经营者和P2P网络托管站点会很快删除可能已经受到感染的文件。为此，犯罪分子会尝试通过加壳等手段对恶意程序进行免杀处理，反病毒程序通常无法检测到加壳病毒的特征代码，因此这种所谓的免杀处理极其流行。不过，代价也相当昂贵，通常开发者需要花费100美元左右购买加壳工具的使用授权，如果按照PPI平台所能够获取的利益计算，犯罪分子成功在1000台美国的电脑上安装恶意程序才能够赚得180美元，而亚洲受害者的电脑则更不值钱，只能够获得总共6美元左右。

杀毒：在我们的案例中，很明显，罪犯的如意算盘没有得逞，在试图获取系统控制权的过程中，出现了病毒设计者无法预料的情况，导致系统完全崩溃。安全专家通过PXE服务器启动并为电脑重新安装了系统。

借医生电脑

做广告的伟哥

如果医疗系统的电脑被黑客攻击，那么很可能会产生非常严重的后果，也可能会出现非常戏剧性的后果。

卡巴斯基的病毒猎人正在为医生处理两台受到恶意软件感染的电脑，这两台电脑的运行速度变得非常缓慢，很快安全专家就发现了问题，在电子邮件客户端的“发送”文件夹中，有许多垃圾邮件。在过去的数周中，电脑在医生毫无察觉的情况下，向病人不断地发送医药广告，向病人推荐药品——伟哥。

感染：安全专家无法确定医生的电脑究竟是如何被感染的，但是有一点非常明确，那就是医生的电脑已经成了发送垃圾邮件的僵尸网络中的一员。在本案例中，电脑的安全软件和操作系统都是最新的，但是这些电脑的管理人员忘记执行定期的Windows更新，安全软件的授权也已经过期，因而，操作系统没有及时地修补已知的漏洞，也无法获得新的恶意软件特征码。对于网络犯罪分子来说，这台电脑基本上等同于不设防，是一个可以被轻易感染的目标。

杀毒：由于该病毒可以被删除，所以安全专家使用Live CD启动电脑，成功地删除了病毒，解决了问题。之后，医生为安全软件购买了一个新的使用授权，更新了安全软件的病毒特征码数据库，并进行了操作系统更新。不过，由于此前频繁发送垃圾邮件，医生电脑所使用的网络IP地址有可能被纳入网络反垃圾邮件组织的黑名单，所以会导致这些电脑在随后发送电子邮件时会被某些邮件服务器拒收。不久前，许多使用McAfee的一款一体化集成安全套件“SaaS Total Protection”的用户也曾有此遭遇，由于该软件存在安全漏洞，所以在遭到攻击后电脑会成为垃圾邮件的服务器，频繁对外发送垃圾邮件，导致用户IP地址被纳入黑名单而无法正常地收发邮件。幸好，被攻击的电脑只是发送垃圾邮件，黑客们并未染指电脑上的其他数据。

彻底停工的工业厂房

生产线出奇地安静，因为病毒扩散导致生产系统完全停工，救援人员需要马上投入战斗。

平时噪音震耳欲聋并装满巨大机床、铣床和其他加工机械的地方突然沉默下来，只是因为一个看不见摸不着的电脑蠕虫病毒感染了负责控制和监测生产线的电脑。因此，整个工厂完全停止了工作，趋势科技的恶意软件分析结果确定，该公司的系统感染了Conficker蠕虫病毒，该病毒是近几年来异常猖獗的病毒之一。

感染：令人奇怪的是，该工厂并没有连接互联网，并且员工不允许使用闪存盘以及其他的移动存储介质。当然，真正做到完全封闭的系统是不会感染蠕虫病毒的，很明显雇员没有完全按照工厂的规章制度操作，私自使用了感染Conficker蠕虫病毒的移动存储介质。

在电脑没有最新的防病毒系统保护的情况下，蠕虫病毒尝试在局域网中查找对外共享“Admin $”文件夹的电脑，并尝试通过暴力破解等手段获取该电脑的账户名和密码，如果成功，Conficker将渗入该电脑的系统并将其自身拷贝到Windows文件夹的“System32”文件夹中，并在Windows的任务文件夹“Tasks”中创建“.JOB”任务文件。在不同的系统中，病毒生成的文件有一定的差异。感染系统后病毒将长驻内存，在侦测到有移动存储介质接入系统的时候，它将会把自身拷贝到移动存储介质之中，尝试在移动存储介质接入其他电脑时再次传播。该病毒由来已久，许多防病毒软件都能够检测到该病毒，但是由于该病毒有许多变种，其运行特征与生成的文件也各不相同，因而，清除该病毒的难度比较大，特别是在被病毒感染的系统上，防病毒软件的检测功能都可能会受到影响。另外，即使防病毒软件能够成功地检测到病毒，但由于病毒已经加载，并且病毒所在的系统文件夹受到系统的保护，所以通常往往很难被清除。

杀毒：为了清除病毒，安全专家不得不逐一地对工厂中的所有电脑进行杀毒，由于工厂的规模比较大，所以专家们需要驾车在厂区各处进行工作，使用外置存储设备启动电脑，在病毒进程未加载的情况下对其进行清理。不过，仅仅清理系统上的病毒是不够的，安全专家还需要进一步地防止病毒再次发起攻击。首先，所有的系统必须安装微软提供的一个修补程序（MS08-067），因为Conficker蠕虫病毒利用这一著名的漏洞侵入系统。经过一系列繁琐的工作之后，病毒猎人终于完成了所有的清理工作，并为所有的系统安装了修复程序，使生产工作重新恢复正常。

Conficker蠕虫至今仍然是一个极具威胁的病毒，在接下来的故事中，Conficker蠕虫同样扮演了重要角色。

被病毒攻击的医院

医院的医疗系统被病毒感染，安全专家必须在有限的时间内追捕这一充满侵略性的病毒。

一个星期天的晚上，人们都悠闲地在家休息，但诺曼的病毒猎人正匆匆赶往一个医疗系统被病毒感染的医院。这实在是一件糟糕的事情，如果影响到即将需要进行手术的病人，那么后果将不堪设想。该医院使用两个不同的网络，一个与互联网连接，而另外一个独立的网络负责管理医疗器械的运行，经过检查后发现，实际上两个网络都受到了病毒的影响。整个系统被一个有些过时的蠕虫病毒侵扰，这个被命名为Neeris的蠕虫实际上早已经被安全专家捕获并且已经能够被安全软件所识别，但是Neeris开发者模仿了Confiker蠕虫病毒感染电脑系统的方法，通过Confiker蠕虫病毒再次复苏。

Neeris十分猖獗，医院中超过100台电脑和医疗设备都受到了影响，其中控制重要的医疗设备和分发有关数据的电脑均受到了影响。病毒猎人查看服务器日志，试图找出病毒传播的根源以及目前已经被感染的系统，幸运的是，该蠕虫有一个独特的签名，所有受影响的系统可以迅速被识别出来。

感染：最早的感染源被基本确定，这是一台毫不起眼的电脑，它没有连接到互联网，但是接入了内部网络。那里的医生使用它读取闪存盘，以复制CT图像的副本，而Neeris酷似蠕虫病毒Conficker，它可以通过移动存储介质感染系统。而该电脑被轻易感染的原因，是由于没有及时更新系统的已知漏洞，对于没有连接互联网的电脑来说，这是常见的状况。虽然网络管理员可以通过下载方式获得所有补丁，并逐台安装或者通过内部网络分发为这些没有接入互联网的电脑安装补丁，但很明显，医院的管理员并没有这样做。事实上，在许多地方类似的情况也普遍存在。

杀毒：能够通过网络传播的蠕虫病毒通常总是咄咄逼人的，第一次清除病毒的尝试在早上1点30分宣告失败，Neeris很快又再次感染了已完成清理工作的系统。不过，安全专家发现了Neeris的一个致命弱点，在病毒发起攻击时，它会检查目标是否已经被病毒新的变异版本所感染，是的话它将自动删除当前版本的病毒。因此，专家使用了一个简单的技巧，为每一台电脑加上了已经感染新变种的标志，这类似于为每一台电脑接种疫苗。病毒猎人迅速编写了相应的工具，并完成了疫苗接种工作，虽然工具只能够在Windows电脑上使用，无法运行于医疗器械之上，但是幸运的是，医疗设备的关键系统并没有受到感染，因而，清理工作进行到清晨，病毒已经基本被控制住，接下来可以由医院的电脑管理人员接手清理工作了。

推荐访问:猎手 病毒 故事