追本溯源揭秘“AV终结者”病毒的生态链

红心王子

论坛中有关“AV终结者”病毒的咨询，仍然在继续增长，原来我还以为这个病毒中了之后，用户会很快发现杀毒软件工作异常，然后就会想办法去处理掉这个病毒，病毒的隐蔽性就不会太强。但事实不是这样的，多数用户对杀毒软件不能正常工作并不觉得有异常。因为，此时系统的其它功能基本不受影响，病毒也不会影响系统性能或影响网速。以致于已经中毒的系统还可以申请远程协助，以完成手工杀毒操作。
我在思考另一个问题——“AV终结者”病毒，是否和“熊猫烧香”一样，是盗号集团的杰作？？ 首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒，如何能引起这样大规模的传播呢？仅仅靠病毒程序的自然衍生，显然不能做到这一点。那么，这个病毒极可能是人为操纵的结果。 那么“AV终结者”病毒，最开始是通过什么途径入侵的呢？这个病毒后面是不是还隐藏着更多的迷？ 在AV终结者之前，有两类病毒值得我们去关注，一是“Risk.exploit.ani”病毒，是利用ANI漏洞广泛挂马。另一类，是利用ARP欺骗，劫持整个局域网会话，被劫持的局域网电脑用户访问任何网站都会同时从16.us站点（还有更多的下载站）下载木马。 和熊猫烧香病毒案比起来，“AV终结者”表现得更加隐蔽，该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度，远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。 第一阶段：传播“AV终结者”病毒 最快速有效的传播手法，是通过攻击企业公共服务器（通常是IDC机房托管的服务器），攻击成功后，直接在服务器上植入木马，再利用ANI漏洞迅速传播。不仅如此，攻击者还会在被攻陷的服务器上植入ARP攻击程序，成功将挂马成果扩大到整个机房。类似的手法，可以在攻入企业内部网后，发起ARP攻击行为，迅速让挂马现象在整个公司网络中漫延。 另一种作法更直接，直接把制作完成的“AV终结者”病毒通过U盘，在网吧等公共上网场所人为传播。方法很简单，到目标机器上插一下U盘就办到了。 第二阶段：“AV终结者”病毒活跃期 “AV终结者”病毒成功入侵后，几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持，关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒，病毒干脆修改系统配置，不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。 第三阶段：木马活跃期 经过前一阶段的准备，“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后，病毒内置的下载器功能大显身手，数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上，这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况，要取决于木马控制者的喜好。 为何判断这是盗号集团在企业化公司化运作？ 理由是，在上面“AV终结者”病毒发展的三个阶段中，任一阶段均使用了多种不同的病毒和攻击手段，病毒不再是单打独斗，而是发展到协同作战的程度。其复杂度体现在：传播阶段的手法多样性；入侵后对抗杀毒软件技术的复杂性；木马收获阶段，几乎面面俱到，无所不拿。综合这些特点，很难想像，一个人或者仅仅几个人如何去完成这种复杂的任务。 谁在指挥这个复杂的利益链？ 答案当然是受益者，“AV终结者”病毒会自动连接到一些服务器下载各种木马，这些服务器成为整个利益链条中的聚合器。那么，拥有或控制这些站点的人，应该是“AV终结者”病毒利益链中最直接的受益者。 我们分析了部分“AV终结得”病毒的下载站，发现变种不同，下载站也会有所区别。这里仅公布其中一个下载站的信息：

WHOIS Results for: 100000000000000000000000000000.cnDomain Name: 100000000000000000000000000000.cnROID: 20070314s10001s35110810-cnDomain Status: okRegistrant Organization: 蓝色精灵  Registrant Name: 蓝色精灵Administrative Email: shenzhenkeji@hotmail.comSponsoring Registrar: 北京新网互联科技有限公司Name Server:ns1.dns.com.cnName Server:ns2.dns.com.cnRegistration Date: 2007-03-14 18:27Expiration Date: 2008-03-14 18:27

一个叫蓝色精灵的组织在2007年3月14日使用shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名，有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载，拥有这个站点或控制这个站点的人，有重大作案嫌疑。 熊猫烧香的作者李俊落网了，李俊肯定不会是唯一的，下一个会是谁呢？(责任编辑：李磊) 可以想象的出来AV终结者入侵的第二阶段将是极其可怕的，也注定了网络环境也将从此开始进入高危阶段

九棒歪打

以经济利益为目标的病毒，集团化设计
不像熊猫这样个人作品纯粹要显
07年病毒风格？