最近,在一些灰鸽子FANS的论坛里,很多人在散步谣言说金山剿灭灰鸽子不过是场炒做,拿流行了几年的老木马大做文章。不过骂归骂,过金山毒霸成为他们相当头疼的一件事。
金山毒霸杀灰鸽子的效果真如官方宣称的那样有效吗?对此,毒霸的鸽子杀手——通杀方案的开发者章群帅哥做了如下解释:
一、金山歼灭灰鸽子的几个数据:
1、自2007年1月1日至3月7日之间的70天里,金山共截获灰鸽子各变种计8275个
2、灰鸽子入侵的计算机数量统计(金山反病毒中心数据库会记录金山毒霸的查毒结果,对传统病毒计量单位是感染的病毒数,对木马使用的计量单位是IP数,也就是一台电脑记一个IP)
2006年灰鸽子及变种的感染数据表
病毒别名
感染机器台数
Huigezi
5,918,284
Hupigon
251,587
GrayBird
239,534
Gpigeon
77,818
总数
6,487,223(全年12个月的数据)
2007年1月1日至3月7日(70天)灰鸽子感染数据表
病毒别名
感染机器台数
Gpigeon
81,163
GrayBird
79,494
Hupigon
22,115
Huigezi
1,529,299
总数
1,712,071 (仅2个多月的数据)
金山打击灰鸽子的战役是从3月13日开始的,灰鸽子通杀方案和专杀是在3月15日提供的。事先,毒霸技术部对新清除方案的效果早已成竹在胸,但最终清除灰鸽子的数字让他们倍感惊讶,仅仅3月26日一天就清除了127865台电脑上的灰鸽子。
二、毒霸通杀灰鸽子技术方案
章群说,金山综合三方面的技术解决灰鸽子的查杀问题:
1、采用数据流技术,对内存中的灰鸽子病毒进行完全查杀。即使灰鸽子使用多么变态的加密,数据流也能做到超过90%的检测率。
2、使用反hook技术,使灰鸽子无法隐藏病毒进程。然后再用其它方法,比如文件粉碎器干掉它。
3、利用病毒特性,脱离以前依靠特征的方法,对加壳后灰鸽子样本能够准确的查杀。这里摆脱传播的病毒特征码分析,而是分析了灰鸽子木马服务端的其它特征。章群说:“理论上来讲,甭管他加什么壳,这个特征总会被查到。除非作者修改了这个特征,但是我们肯定会随之修改。”
|