首页分享解析：2010年度上半年全国病毒传播趋势

解析：2010年度上半年全国病毒传播趋势

来源：花匠小妙招时间：2024-11-29 12:52

作者：Kathy 编辑：赵继诚 2010-08-16 09:13

IT168网站原创

　　恶意推广变本加厉，脚本病毒凸显灵活多变

　　不法分子不曾放弃对非法利益的追逐，因此没有停下技术创新的脚步。Windows系统强大的功能，使得脚本的应用也随之丰富多样。同时，由于脚本语言灵活的表述方式，使得加密变形也显得十分容易，因此对于变种的查杀而言也造成了不小的难度。

　　5月份江民科技曾捕获到一个名为“JS毒器”变种gzn的脚本病毒。该病毒运行后会在正常程序文件夹下生成经过加密的恶意脚本并调用运行。恶意脚本运行后，首先会在注册表中创建自定义的扩展名，并且获取桌面上快捷方式的名称等信息，之后会在桌面上创建同名、同图标的假冒快捷方式。以后每当用户通过这种恶意快捷方式启动应用程序时，便会在后台首先执行指定的脚本。指定的脚本在运行后，会在IE收藏夹和桌面上创建大量的Internet快捷方式，以此诱导用户对指定的站点进行访问。这些快捷方式即使被用户删除，也依然会在用户点击假冒快捷方式之后被重复创建，从而令用户难以摆脱。不过对于一些有经验的用户而言，只要在发现桌面假冒快捷方式的奥秘之后，还算是不难处理。

　　越是容易处理的病毒，其生命周期和实际效果就越会受到限制，因此病毒作者会不断对技术加以变革和创新，从而增强病毒的生存能力和使用效果。仅仅过了不到一个月，这种JS脚本病毒便出现了最新的变种。其变种可谓是无所不用其极，已然大大的超越了前辈的作为。

　　该病毒的最新变种经过多重加密处理，运行后会将“开始”菜单下所有应用程序、系统程序的快捷方式篡改为随机扩展名的恶意脚本文件(不同于之前变种仅有的单一扩展名)，由于其图标仍旧保持原来的样式，因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后，会首先判断所运行的进程是否为几款常见的网页浏览器。如果是，则会在进程名之后添加骇客指定的URL并且调用运行，从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机的注册表项目，因此会给手动清除工作造成很大的不便。另外，由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改，病毒清除后需进行的恢复工作也较为繁杂，否则仍会对用户的电脑操作造成干扰。该类病毒由于变种繁多，导致一些清理软件并不能完全的将被篡改的快捷方式彻底恢复。如果用户不慎点击了残留的恶意快捷方式，仍旧会激活藏身于系统文件夹中的母病毒，致使不断被重复感染，令用户难以摆脱侵害。