金山毒霸:DOS病毒復活 穿越者輕鬆突破主流防毒軟體

sou6發表於2016-07-06

  目前,主流計算機均使用64位CPU,操作系統逐步從32位升級到64位,新出廠的PC中大多安裝了64位Windows 7 。當人們認為16位程式(多是DOS程式)將消失時,病毒打破了平靜。10月25日,金山毒霸安全中心監測發現一種16位DOS病毒復活,輕鬆穿越主流防毒軟體的防禦。

  這個被命名為DOS.StartPage.fk的程式每天感染超過2萬臺電腦,篡改瀏覽器圖示,將主頁鎖定為42630.com網址導航站,病毒主要透過一些提供盜版影視劇下載的網站傳播。

金山毒霸:DOS病毒復活 穿越者輕鬆突破主流防毒軟體 三聯教程

  圖1 病毒修改瀏覽器主頁,建立桌面IE圖示

  目前,主流作業系統和應用軟體多為32位程式(64位應用程式尚在逐步普及,未成為主流),16位DOS程式已非常罕見,金山毒霸安全中心因此將該病毒命名為“穿越者”。

  圖2 金山毒霸查殺穿越者DOS病毒

  病毒作者使用的程式設計工具也是被淘汰的quick basic,病毒作者將32位的執行程式封裝在16位DOS程式外殼中,從而令主流防毒軟體防禦系統完全不能偵測。防毒廠商普遍認為DOS病毒已經消失,現有的防禦系統,大多針對32位程式設計。

  病毒為逃避查殺,在16位外殼程式執行後,會刪除自身,增加防毒軟體追查樣本來源的難度。結果倒黴的就是網民:使用者會發現瀏覽器主頁總被修改,用防毒軟體修復之後只能短期內有效,在下載盜版影視劇時,又會再次中招。

  金山毒霸安全專家指出,由於該病毒突破防毒軟體的方法獨特,短期內很可能有更多病毒嘗試穿越到DOS時代。針對這個16位穿越者病毒的特殊作法,金山毒霸修改了現有防禦體系,已可完全攔截穿越者病毒。當網民從帶毒網頁下載病毒時,也會立刻阻止。

相關文章