Virus 版 (精华区)
发信人: Kernel (CHO), 信区: Virus
标 题: 蠕虫大战(zz)
发信站: 哈工大紫丁香 (Thu Mar 4 19:46:46 2004), 站内信件
风生水起...
I-Worm.Mydoom Come on...
I-Worm.Netsky Come on...
I-Worm.Bagle Come on...
变种一个接一个,从.a到.k,花样翻新,手段做绝。近期反病毒公司应接不暇、疲于
奔命。
层出不穷的变种勾引起许多人的兴趣,包括我,经过分析和其他一些资料,才发现原
来一场蠕虫大战早已上演了。
先是Netsky 作者嘲笑其他的蠕虫作者,包括前期的Mydoom蠕虫作者:
"We are the skynet - you can't hide yourself! - we kill malware writers (t
hey have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! SkyNet AV v
s. Malware."
Netsky的变种蠕虫将终止Mydoom蠕虫进程。
新的Mydoom 和 Bagle变种出现了,据KAV工程师透露,Bagle作者在蠕虫体内说:
"Hey, NetSky ... don't ruine {sic} our bussiness, wanna start a war ?"
Mydoom 作者更是对Netsky 给予嘲笑:
"To netsky's creator(s): imho, skynet is a decentralized peer-to-peer neur
al network."
Netsky作者随后在升级的变种中声讨:"Bagle - you are a looser!!!!"
同时该版本Netsky的变种将自行终止,删除系统内的Mydoom和Bagler蠕虫。
于是在近两周内互联网空前的充满的蠕虫变种,让我想起了黑客帝国...
国际某知名AV公司,一天捕获了1千500万个Netsky蠕虫拷贝。据他们统计每19封Emai
l就有一个携带Netsky病毒体。
蠕虫花样层出不穷,Netsky.d变种将在周2 早晨播放一段神秘的声音...
Mydoom作者在29A公开了Mydoom源代码,今后Mydoom的后代将更为繁杂...
Bagle 不甘落后,将自身生成带口令zip压缩包裹,并携带随即生成的口令传播...
创意无限,不知道是不是素质教育的结果,呵呵。
反病毒公司这下有事情作了,就一个字,忙!
杀毒软件在病毒作者的不断更新中应付越来越吃力,当第一时间拿到Bagle.h的变种我
就体会到了,正常情况下杀毒引擎对zip的处理是解包后在查杀,然而Bagle随机的带了个
密码,当时用手中的杀毒软件无一能检测出这个压缩包中的Bagle样本。
在手中解开zip包后,国际著名反病毒产品AVP能检测出来该变种,当时国内厂商尚无
反应,手动分析发现该变种采用了变形的加密壳来保护自身,正当惊叹AVP的快速反应能力
的时候,发现AVP并没有报告packer类型,这个时候才感觉到AVP是直接对加密后的样本取
特征码,众所周知,这是不可靠的查毒技术。果然在手动脱掉加密壳后,AVP误报了。连自
身的unpack库内置1200种壳识别处理引擎的AVP公司尚且如此,其他的AV公司可想而知。
只是,面对蠕虫作者的疯狂,今后的AV引擎,怎么办?
...
毫无疑问,在这越来越妩媚的春天里,蠕虫作者们的心骚动了! ha ~
thx benjurry,没有他我这片水文无从谈起了
--
※ 来源:.哈工大紫丁香 bbs.hit.edu.cn [FROM: 218.108.194.40]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.505毫秒