近日,Spyeye及其变种持续发威,其生成工具也在黑市上高价流通,俨然已成为了一条最新的黑色产业链之路。这种行为严重威胁用户的计算机安全,AVG中国实验室连续在国内截获这一系列病毒,同时对其派生的变种和新版病毒进行准确查杀。
Spyeye之所以如此被AVG重视,源于它的工作机制和覆盖面。由于Spyeye的特殊工作方式,用户计算机在第一时间被感染病毒后,会成为Spyeye僵尸网络的一员,此时,电脑完全处于僵尸网络制造者的控制之下,发送垃圾邮件,发起网络攻击,窃取用户的敏感数据,下载其他恶意程序等等。而这一切,用户往往毫不知情。截止2月底AVG中国实验室的数据显示表明,曾经被Spyeye感染的用户计算机已经达到了一个相当庞大的数字,这是现阶段一个非常流行的病毒,具有非常大的危害性。AVG认为这是一项值得关注的事件,因此投入大量精力对该病毒进行机理分析和查杀。
病毒特征
极强的独立性:Spyeye会通过hook特定的Wininet API 来阻止其他的肉鸡和主机通讯,如果在Spyeye的生成过程中如果有勾选“Kill zeus”的选项,则Spyeye将删除其它的肉鸡程序,做到“清除异己,一统天下”。
更精明的隐蔽化处理:在和主机通讯的过程中,可能会造成大量的异常的流量,Spyeye为了避免被流量工具检测,它会严格的监测自己的运行环境,一旦发现有流量监控工具,则停止其与主机的通讯。
Spyeye会监视系统中是否存在如下的进程(下文所列为部分使用率高的检测工具)。
Microsoft Network Monitor 3.3
The Wireshark Network Analyzer
SmartSniff
CurrPorts
TCPViewClass
……………………
其次会检测是否存在以下文件,与上一步的进程检测相互辅助,确定用户计算机上的流量检测系统。
%Program Files%\WinPcap\rpcapd.exe(WinPcap驱动程序,部分监控工具基于此开发)
%Program Files%WireShark\rawshark.exe(WireShark监控程序)
%Program Files%Ethereal\ethereal.html(一款免费的网络协议检测程序)
%Program Files%Microsoft Network Monitor 3\netmon.exe(微软的Microsoft Network Monitor 主程序)
该程序会判断其第一块硬盘是否为虚拟设备来检测其是否运行于虚拟机中,根据注册表的返回值,如果“是”则退出。
更“有趣”的运行机制 :Spyeye为了避免在注入代码时出现不可预知的错误而引起系统警告,而将其加入DEP (data execution prevention)的例外列表,因此我们可以通过以下注册表我们可以找到该病毒的踪迹。不得不说,这个想法实在是太有意思了,但显而易见的是,用户们并不喜欢它隐藏的这么深。
更精密的伪装手段:为了逃避检测以及获取信任,Sypeye变种伪造了Avira的数字签名,我们可以从数字签名信息中看到,然而因为是伪造的,所以这份证书是不受信任的。
查杀情况
目前AVG包含Anti-Virus Free Edition 2011(中文免费版)在内的多个杀毒软件版本已经可以成功的对该病毒进行查杀。AVG中国实验室建议没有安装杀毒软件的用户可以在 http://www.avg.com/cn-zh/china-homepage 下载AVG中文免费版进行计算机保护,以抵御Spyeye及其变种的攻击。
