Virus 版 (精华区)

发信人: Kernel (CHO), 信区: Virus
标  题: 蠕虫大战（zz)
发信站: 哈工大紫丁香 (Thu Mar  4 19:46:46 2004), 站内信件

风生水起...
    

    I-Worm.Mydoom Come on...
    I-Worm.Netsky Come on...
    I-Worm.Bagle  Come on...
    
    变种一个接一个，从.a到.k，花样翻新，手段做绝。近期反病毒公司应接不暇、疲于
奔命。
    
    层出不穷的变种勾引起许多人的兴趣，包括我，经过分析和其他一些资料，才发现原
来一场蠕虫大战早已上演了。
    先是Netsky 作者嘲笑其他的蠕虫作者，包括前期的Mydoom蠕虫作者:
    "We are the skynet - you can't hide yourself! - we kill malware writers (t
hey have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea! SkyNet AV v
s. Malware." 
    
    Netsky的变种蠕虫将终止Mydoom蠕虫进程。
    
    新的Mydoom 和 Bagle变种出现了，据KAV工程师透露，Bagle作者在蠕虫体内说：
    "Hey, NetSky ... don't ruine {sic} our bussiness, wanna start a war ?"  

    
    Mydoom 作者更是对Netsky 给予嘲笑：
    "To netsky's creator(s): imho, skynet is a decentralized peer-to-peer neur
al network."
    
    Netsky作者随后在升级的变种中声讨："Bagle - you are a looser!!!!"
    同时该版本Netsky的变种将自行终止，删除系统内的Mydoom和Bagler蠕虫。
    
    于是在近两周内互联网空前的充满的蠕虫变种，让我想起了黑客帝国...
    
    国际某知名AV公司，一天捕获了1千500万个Netsky蠕虫拷贝。据他们统计每19封Emai
l就有一个携带Netsky病毒体。
    
    蠕虫花样层出不穷，Netsky.d变种将在周2 早晨播放一段神秘的声音...
    
    Mydoom作者在29A公开了Mydoom源代码，今后Mydoom的后代将更为繁杂...
    
    Bagle 不甘落后，将自身生成带口令zip压缩包裹，并携带随即生成的口令传播...

    
    创意无限，不知道是不是素质教育的结果，呵呵。
    
    
    反病毒公司这下有事情作了，就一个字，忙！
    杀毒软件在病毒作者的不断更新中应付越来越吃力，当第一时间拿到Bagle.h的变种我
就体会到了，正常情况下杀毒引擎对zip的处理是解包后在查杀，然而Bagle随机的带了个
密码，当时用手中的杀毒软件无一能检测出这个压缩包中的Bagle样本。
    在手中解开zip包后，国际著名反病毒产品AVP能检测出来该变种，当时国内厂商尚无
反应，手动分析发现该变种采用了变形的加密壳来保护自身，正当惊叹AVP的快速反应能力
的时候，发现AVP并没有报告packer类型，这个时候才感觉到AVP是直接对加密后的样本取
特征码，众所周知，这是不可靠的查毒技术。果然在手动脱掉加密壳后，AVP误报了。连自
身的unpack库内置1200种壳识别处理引擎的AVP公司尚且如此，其他的AV公司可想而知。

    
    只是，面对蠕虫作者的疯狂，今后的AV引擎，怎么办？
    
    ...
    
    毫无疑问，在这越来越妩媚的春天里，蠕虫作者们的心骚动了！ ha ~
        
    thx benjurry,没有他我这片水文无从谈起了
--

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 218.108.194.40]