病毒進化進入驅動級 與殺毒軟件爭奪系統控制權

電腦病毒與反病毒較量了20餘年後，終於在2008年登峰造極。近日，反病毒軟體廠商江民科技反病毒中心監測結果顯示，進入2008以來，大部分主流病毒技術都進入了驅動級，病毒已經不再一味逃避殺毒軟體追殺，而是開始與殺毒軟體爭搶系統驅動的控制權，在爭搶系統驅動控制權後，轉而控制殺毒軟體，使殺毒軟體功能失效。
    目前幾乎所有的盜取網路遊戲帳號的木馬病毒都具備了這一特徵，幾乎所有主流的程式設計技術都被病毒一一套用，包括ROOTKIT技術、內核級HOOK技術、行程注入、檔案加密存放等等，可以說，目前一些病毒一旦感染，普一般的戶根本無能力徹底清除，只能求助專業技術人員。因此，裝設帶有智慧主動防禦和系統還原功能的殺毒軟體，防止病毒入侵系統或系統被破壞後自動還原，是目前普一般的戶可以採取的有效的病毒防範措施。
 
    江民反病毒專家列舉了幾個最新截獲的病毒，無一例外都是“驅動級”病毒。“網遊竊賊”變種tyy採用內核級HOOK技術編寫而成的惡意驅動程式。木馬主常式裝設執行後，會在被感染電腦系統的後台利用內核級HOOK技術來監控使用者的作業，從而盜取使用者玩家“刀劍OnLine”、“QQ華夏”、“QQ自由幻想”、“QQ幻想”、“劍俠情緣II”、“奇蹟”、“完美國際”、“完美”、“問道”、“征途”、“夢幻”、“大話”、“風雲”、“魔獸”等眾多網路遊戲的登陸帳號、登陸密碼、倉庫密碼、角色等級、金錢數量、所在區服、電腦名稱稱等訊息資料。並且會在被感染電腦後台將竊取到的這些訊息資料傳送到駭客指定的遠端伺服器站台上。

    “頑梯”變種eld是惡意驅動程式家族的最新成員之一，也是一個採用進階Rootkit技術編寫而成的驅動程式。“頑梯”變種eld在使用者電腦中註冊裝設執行後，會利用內核級的鉤子去隱藏病毒行程、病毒檔案和病毒在註冊表中的啟動項，防止被安全軟體所查殺，被該驅動程式隱藏的行程可以躲避Windows工作管理員等常用行程檢視工具的掃瞄。其中，一些關鍵性的資料訊息在木馬驅動程式檔案體內是加密存放的，一但使用者電腦系統感染該病毒，普一般的戶很難清除乾淨。

    “代理”變種de是木馬家族的最新成員之一，是一個採用進階Rootkit技術編寫而成的驅動程式。“代理”變種de在使用者電腦中註冊裝設執行後，會利用內核級的鉤子去隱藏病毒行程、病毒檔案和病毒在註冊表中的啟動項，防止被安全軟體所查殺。其中，一些關鍵性的資料訊息在木馬驅動程式檔案體內是加密存放的，一但使用者電腦系統感染該病毒，則很難清除乾淨。

    驅動級常式是作業系統內優先等級最高的常式，它可以獲得內核級的系統優先權，可以先於普通應用程式啟動並獲得系統控制權。越來越多的病毒進化為驅動級常式無疑是十分可怕的。事實証明，目前非驅動級的殺毒軟體在病毒面前根本無執行的機會，而一些驅動層級不高的殺毒軟體也紛紛被病毒控制從而失去殺毒功能。

真的是太毒了吧