华军资讯消息:3月19日,网上出现一则疑似“鬼影”病毒作者“飓风软件工作室”发布的声明,该声明称其已经全面停止了“飓风穿还原下载者”的二次开发,并且即日起不再进行任何黑客类软件的开发,在声明中还暗中讽刺了某安全厂商的自吹自擂。[img]http://web.hackbase.com/uploadfile/news/uploadfile/201003/20100320090338103.jpg[/img](飓风软件工作室声明截图)
飓风软件工作室关于停止开发的声明:
飓风软件工作室目前已全面停止了飓风穿还原下载者的二次开发,删除了飓风下载者全部源代码,飓风软件工作室自今日起将不进行任何黑客类软件开发!
请某某公司不要将MBR感染技术吹嘘的如此强悍(实际上自从国外公布了Bootkit源代码黑客软件开发的圈子里已经不下10款流氓软件使用了此种技术,并且MBR感染技术非常简单而且单一,重新修复MBR所谓的鬼影病毒也就不可能存在于计算机了, 某某公司所谓的专杀工具也不过就是修复一下MBR而已。
飓风工作室也将于近期推出MBR修复工具。
“鬼影”病毒事件前后
据悉,上周末被金山发现的“鬼影”病毒,在短短几日内就感染了超过30万台的电脑。3月15日,金山毒霸安全实验室发布安全预警;次日,疑似鬼影病毒的作者惊现互联网,在百度空间以及某黑客论坛公开出售病毒。3月16日,金山安全实验室再次发布预警,谴责黑客的嚣张行为,并向公安机关举报。3月19日,在飓风软件工作室发布停止开发声明的同时,金山也宣布“对鬼影病毒的围剿工作取得初战告捷”。
“鬼影”病毒特征简析
“鬼影”病毒是一种寄生于主引导记录(MBR)的病毒,它的特征之一是导致安全软件不能正常运行,下载大量的盗号木马。由于独立于系统之外,并且不在硬盘任何扇区中,因此即使格式化硬盘重装系统也无法彻底清除该病毒。当系统再次重启时,病毒会早于操作系统内核加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何母体程序的特征,病毒就象“鬼影”一样在中毒电脑上阴魂不散。该病毒自上周末被金山毒霸安全实验室发现以来,已经感染了超过30万台电脑,平均每日有3万左右的下载量。
“鬼影”病毒遭受安全厂商“联合夹攻”
由于采用了不同于一般病毒的技术,“鬼影”病毒比普通病毒更难彻底查杀,因此受到了黑客产业链的青睐,该病毒一度在黑市热卖,其疑似作者甚至在网上公开出售病毒。然而,由于受到了来自金山、瑞星、360等安全厂商的联合夹攻,该病毒在尚未完全爆发之前就“败下阵来”。
据金山安全实验室的数据显示,“鬼影”病毒目前的传播行为已经停止,新增的感染量较少,并且多是因用户重新安装捆绑了病毒的共享软件导致的重复感染。据悉,目前金山已经推出了针对“鬼影”病毒的专杀工具,而瑞星和360也已经可以正常查杀该病毒。
疑似“鬼影”病毒作者正式“隐退”
在遭到安全厂商的联合夹攻、并且已经被报案的情况下,疑似“鬼影”病毒作者“飓风软件工作室”于近日正式发布声明,宣布停止对该病毒的开发。在声明中称MBR干扰技术非常简单,没有某安全软件厂商宣称的那么强悍,认为其所推出的专杀工具也只是修复MBR而已。
点评:
由于“鬼影”病毒采用了不同于一般病毒的技术,传统的格式化硬盘重装系统的方法已经无法有效应对,其破坏力远远超过了普通的病毒,一旦大规模爆发,后果将不堪设想。而该病毒从被发现到被剿灭不到十天,这得益于各大安全厂商首次默契地共同合作,在“鬼影”病毒大规模爆发之前将其遏制。有鉴于此,国内的各大安全厂商今后应该进行更多类似的合作,减少相互之间的口水战,这样才能给网民带来更安全的网络环境。