关键词：极虎病毒，病毒预防，极虎病毒查杀

　　一、谶曰

　　图1 黑客编写电脑病毒程序

　　小白：放假过年我真欢喜，不法分子全年他不休息！

　　大东：网安意识你记心底，电脑病毒他进不去！

　　小白：极虎病毒他真可怕，虎年第一真不假！

　　大东：日常杀毒要做好，安全上网要做到，极虎极虎他来不了！

　　二、话说事件

　　小白：哎，国庆长假过去那么久，距离下一个元旦小长假还有一个多月，过年是我现在的唯一期待了，多么期待明天醒来就迎来假期，美好的假期！美好的日子！

　　大东：咳咳，小白，别期待了，在网安圈，一年365天，天天都要注意，元旦春节这些举国欢庆的日子更不可以掉以轻心呀。

　　小白：不是吧，春节这种全家欢聚的日子里居然有人会想要搞事？

　　大东：唉，春节期间流行病毒可不少，今天我就来给你讲讲那个在2010年春节严重影响了大家过年愉悦指数的“极虎病毒”。

　　小白：“极虎病毒”？听起来很厉害呀，大东东，快讲快讲~

　　大东：“极虎病毒”在春节放假之前出现并在2月8号全面爆发，仅2月7日一天，就有100390台电脑感染该病毒，截止到9号被袭击用户电脑超过50万台。即使是在假日期间平均日感染量也在7、8万台电脑左右，而在长假结束后，其感染量更是迅速增长到12万台以上，这还是金山毒霸成功帮助超过10万用户拦截了该病毒之后的数据。

　　图2 “极虎病毒”在春节前后感染量

　　小白：我的天呀，这么多！它真是超乎我的想象啊！

　　大东：”极虎病毒“可是当时被称为”虎年第一猛毒“的病毒！他是金山毒霸云安全实验室国内首家发现的一款集合了磁碟机、AV终结者、中华吸血鬼、猫癣下载器为一体的混合病毒，此外，他还有”四最“呢。

　　小白：咦？哪四最呀？

　　大东：”一最“是他的传播方式之多样是历次病毒之最，”二最“是他下载的病毒种类之丰富是历次病毒之最，”三最“是他的清除之难是历次病毒之最，“四最”呢则是指他的系统影响是历次病毒之最。

　　三、大话始末

　　小白：大东东，你先来给我讲讲他的传播方式吧！

　　大东：好啊，“极虎病毒”主要可以使用七种途径来传播。第一，网页挂马，他可以利用极光0day等漏洞广泛传播。第二，U盘、手机、数码相机等移动设备。第三，局域网，他可以通过局域网的共享缺陷，通过弱口令进行内网渗透。第四，软件捆绑及欺骗下载。第五，感染的网页格式文件。第六可执行exe文件。第七，rar压缩包文件，方式一，感染rar压缩包中的可执行文件；方式二，将usp10.dll病毒文件强加到rar压缩包通过系统文件挟持传播。

　　小白：那次要的呢？

　　大东：“极虎病毒”的衍生变种大概还有其他三种传播方式。第一，在系统文件夹创建usp10.dll和Ipk.dll，第二，部分变种会替换掉正常服务，如:appmgmts.dll、qmgr.dll、xmlprov.dll等。第三，当主程序被删除后，如booter.exe，用所留后门，如svchost所加载之替换服务，利用iexplore.exe重新下载。

　　小白：这可真是太嚣张了，他替换了我的文件，而且居然还会在被删除后重新下载！我劝他善良啊！

　　大东：哈哈哈，小白，这也是他清除难度之大的体现之一啊！小白，你要不要猜猜他为什么难以清除。

　　小白：嗯~他的传播与局域网有关，想必，难度之一就是因为局域网全网查杀的难度大造成的。他还可以通过移动设备传播，说明他容易会因此而反复感染不易彻底查杀。同时，他能感染压缩包和网页文件，应该也是造成他不易清除的原因之一吧。大东东，我说的对不？

　　大东：嗯，给你打60分，我来补充补充。“极虎病毒”可以感染"appmgmts.dllmspmsnsv.dllIprip.dll"等11余种系统文件，清除会造成系统问题，因此，杀毒软件不敢轻易清除，而一些变种又因此可以反复下载造成反复感染。

　　小白：这岂不是就是小偷引诱我家的重要成员，即使我赶走他一次，他又可以通过被引诱者回来偷窃了嘛？

　　大东：是的。除此之外，“极虎病毒”的强大之处在于他可以主动对抗杀毒软件，主动防御拦截容易被针对性绕过，更可怕的是他拥有自保护驱动来攻击对抗杀毒软件。除此之外，“极虎病毒”更是每日更新，就跟西游记中的“孙行者”、“者行孙”一般换衣换名让杀毒软件认不出。

　　小白：“极虎病毒”真是使出三十六般变化极力阻止被赶跑呀！诶，大东东，那他的附带病毒都有那些呀？怎么就让他成为附带病毒最丰富的了呢？

　　大东：来来来，我们来看看，“极虎病毒”这个”虎年春节大礼包“都包含了些啥。一是IE主页篡改类病毒、二是热门游戏盗号器、三是流氓软件安装器，还有其他类型下载器病毒。全方面无死角让你电脑成为“游乐园”。

　　小白：这”游乐园”可真不让人愉快啊！咦，若是他下载的软件安装器还可以下载他自己，那这真的是圆环套圆环，让你永远摆脱不掉他呀！

　　大东：还有更可怕的呢！“极虎病毒”该病毒会感染用户机器上的所有可执行文件，同时他非常隐蔽，采用"线程" 插入的方法，插入到正常的系统进程Svchost.exe中，只有在进程模块中，才能看到病毒原体。而且，“极虎”还会造成系统卡慢的问题。

　　图3 在冰刃中查看到的Svchost.exe模块信息

　　小白：卡慢？中了病毒后电脑不都会很卡慢吗，这还得用得着说吗？

　　大东：这可不一定，但中了极虎病毒的电脑一定会很卡顿，因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件，感染压缩包中的其它程序文件后，再打包。而且由于该进程是system权限的，所以你无法使用任务管理器关闭。

　　图4 “极虎病毒”产生rar.exe,ping.exe进程

　　大东：除此之外，“极虎”还会破坏、替换系统文件，攻击各种杀毒软件，感染所有可执行文件，并联网下载大量盗号、广告类软件，真真是无恶不作，令人头大。

　　小白：真不愧是“虎年第一猛毒”啊！

　　四、小白内心说

　　小白：大东东，“极虎病毒”这么可怕，我可怎么预防他呀？

　　大东：唉，所有的电脑病毒都有一致的预防方法，那就是健康上网，不浏览不健康、可疑的网站，只下正版软件，及时安装杀毒软件及时升级，勤杀毒，勤更新病毒库，时刻防护。对于移动设备、下载的文件先杀毒后使用。

　　小白：这么简单？

　　大东：可不就是这么简单。时刻注意，防病毒就是这么简单！

　　小白：那我要是不小心感染了“极虎病毒”呢？那要怎么做呢？

　　大东：对于“极虎病毒”，你可以使用主流杀毒软件全面查杀系统，若是失败了，你还可以下载“极虎病毒“专杀工具，专治”极虎“，让这只老虎变成”病猫“！

　　小白：那要是我没办法下载这个专杀工具怎么办呢？

　　大东：那就只好采用最原始的解决方案了，将整个硬盘格式化后使用光盘重装系统。

　　小白：万变不离其宗，看来所有的解决方法到最后都是重装系统呀。

　　五、那年那事

　　小白：大东东，我怀疑我可能是失忆了。

　　大东：怎么回事！

　　小白：我发现我对2010年毫无印象，仿佛这一年就是空白的。

　　大东：哈哈，我看你挺喜欢网购和追剧的，2010年，那对于网购和视频网站们而言可是个极为重要的大年份。

　　小白：咦？什么大年份？东东，你就别卖关子了，快说嘛~

　　大东：2010年团购市场特别火热，从2010年3月开始，中国的网络团购网站数量迅速达到了数百个被业界戏称“百团大战”。除此之外，2010年电子商务网站麦考林、当当网上市相继在美国上市，而在12月大批量电商企业集中上市，你说这是不是大事件？

　　小白：唉，你说的这些离我好像很远呀，我还是什么都想不起来呢。

　　大东：好吧好吧，那我说个你肯定记得住的。上海世博会你总还记得吧？

　　图5 上海世博会中国馆

　　小白：大东东，你这么一说我就想起来啦！我当时可是排了好长好长好长的队伍呢！城市，让生活更美好！

　　大东：技术，让未来更令人期待！

　　小白：嘻嘻~

　　来源：中国科学院计算技术研究所

　　温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」