關鍵詞：極虎病毒，病毒預防，極虎病毒查殺

　　一、讖曰

　　圖1 黑客編寫電腦病毒程序

　　小白：放假過年我真歡喜，不法分子全年他不休息！

　　大東：網安意識你記心底，電腦病毒他進不去！

　　小白：極虎病毒他真可怕，虎年第一真不假！

　　大東：日常殺毒要做好，安全上網要做到，極虎極虎他來不了！

　　二、話說事件

　　小白：哎，國慶長假過去那麼久，距離下一個元旦小長假還有一個多月，過年是我現在的唯一期待了，多麼期待明天醒來就迎來假期，美好的假期！美好的日子！

　　大東：咳咳，小白，別期待了，在網安圈，一年365天，天天都要注意，元旦春節這些舉國歡慶的日子更不可以掉以輕心呀。

　　小白：不是吧，春節這種全家歡聚的日子裏居然有人會想要搞事？

　　大東：唉，春節期間流行病毒可不少，今天我就來給你講講那個在2010年春節嚴重影響了大家過年愉悅指數的“極虎病毒”。

　　小白：“極虎病毒”？聽起來很厲害呀，大東東，快講快講~

　　大東：“極虎病毒”在春節放假之前出現並在2月8號全面爆發，僅2月7日一天，就有100390臺電腦感染該病毒，截止到9號被襲擊用戶電腦超過50萬臺。即使是在假日期間平均日感染量也在7、8萬臺電腦左右，而在長假結束後，其感染量更是迅速增長到12萬臺以上，這還是金山毒霸成功幫助超過10萬用戶攔截了該病毒之後的數據。

　　圖2 “極虎病毒”在春節前後感染量

　　小白：我的天呀，這麼多！它真是超乎我的想象啊！

　　大東：”極虎病毒“可是當時被稱爲”虎年第一猛毒“的病毒！他是金山毒霸雲安全實驗室國內首家發現的一款集合了磁碟機、AV終結者、中華吸血鬼、貓癬下載器爲一體的混合病毒，此外，他還有”四最“呢。

　　小白：咦？哪四最呀？

　　大東：”一最“是他的傳播方式之多樣是歷次病毒之最，”二最“是他下載的病毒種類之豐富是歷次病毒之最，”三最“是他的清除之難是歷次病毒之最，“四最”呢則是指他的系統影響是歷次病毒之最。

　　三、大話始末

　　小白：大東東，你先來給我講講他的傳播方式吧！

　　大東：好啊，“極虎病毒”主要可以使用七種途徑來傳播。第一，網頁掛馬，他可以利用極光0day等漏洞廣泛傳播。第二，U盤、手機、數碼相機等移動設備。第三，局域網，他可以通過局域網的共享缺陷，通過弱口令進行內網滲透。第四，軟件捆綁及欺騙下載。第五，感染的網頁格式文件。第六可執行exe文件。第七，rar壓縮包文件，方式一，感染rar壓縮包中的可執行文件；方式二，將usp10.dll病毒文件強加到rar壓縮包通過系統文件挾持傳播。

　　小白：那次要的呢？

　　大東：“極虎病毒”的衍生變種大概還有其他三種傳播方式。第一，在系統文件夾創建usp10.dll和Ipk.dll，第二，部分變種會替換掉正常服務，如:appmgmts.dll、qmgr.dll、xmlprov.dll等。第三，當主程序被刪除後，如booter.exe，用所留後門，如svchost所加載之替換服務，利用iexplore.exe重新下載。

　　小白：這可真是太囂張了，他替換了我的文件，而且居然還會在被刪除後重新下載！我勸他善良啊！

　　大東：哈哈哈，小白，這也是他清除難度之大的體現之一啊！小白，你要不要猜猜他爲什麼難以清除。

　　小白：嗯~他的傳播與局域網有關，想必，難度之一就是因爲局域網全網查殺的難度大造成的。他還可以通過移動設備傳播，說明他容易會因此而反覆感染不易徹底查殺。同時，他能感染壓縮包和網頁文件，應該也是造成他不易清除的原因之一吧。大東東，我說的對不？

　　大東：嗯，給你打60分，我來補充補充。“極虎病毒”可以感染"appmgmts.dllmspmsnsv.dllIprip.dll"等11餘種系統文件，清除會造成系統問題，因此，殺毒軟件不敢輕易清除，而一些變種又因此可以反覆下載造成反覆感染。

　　小白：這豈不是就是小偷引誘我家的重要成員，即使我趕走他一次，他又可以通過被引誘者回來偷竊了嘛？

　　大東：是的。除此之外，“極虎病毒”的強大之處在於他可以主動對抗殺毒軟件，主動防禦攔截容易被針對性繞過，更可怕的是他擁有自保護驅動來攻擊對抗殺毒軟件。除此之外，“極虎病毒”更是每日更新，就跟西遊記中的“孫行者”、“者行孫”一般換衣換名讓殺毒軟件認不出。

　　小白：“極虎病毒”真是使出三十六般變化極力阻止被趕跑呀！誒，大東東，那他的附帶病毒都有那些呀？怎麼就讓他成爲附帶病毒最豐富的了呢？

　　大東：來來來，我們來看看，“極虎病毒”這個”虎年春節大禮包“都包含了些啥。一是IE主頁篡改類病毒、二是熱門遊戲盜號器、三是流氓軟件安裝器，還有其他類型下載器病毒。全方面無死角讓你電腦成爲“遊樂園”。

　　小白：這”遊樂園”可真不讓人愉快啊！咦，若是他下載的軟件安裝器還可以下載他自己，那這真的是圓環套圓環，讓你永遠擺脫不掉他呀！

　　大東：還有更可怕的呢！“極虎病毒”該病毒會感染用戶機器上的所有可執行文件，同時他非常隱蔽，採用"線程" 插入的方法，插入到正常的系統進程Svchost.exe中，只有在進程模塊中，才能看到病毒原體。而且，“極虎”還會造成系統卡慢的問題。

　　圖3 在冰刃中查看到的Svchost.exe模塊信息

　　小白：卡慢？中了病毒後電腦不都會很卡慢嗎，這還得用得着說嗎？

　　大東：這可不一定，但中了極虎病毒的電腦一定會很卡頓，因爲此時病毒會調用WINRAR的解包模塊去查找解壓RAR文件，感染壓縮包中的其它程序文件後，再打包。而且由於該進程是system權限的，所以你無法使用任務管理器關閉。

　　圖4 “極虎病毒”產生rar.exe,ping.exe進程

　　大東：除此之外，“極虎”還會破壞、替換系統文件，攻擊各種殺毒軟件，感染所有可執行文件，並聯網下載大量盜號、廣告類軟件，真真是無惡不作，令人頭大。

　　小白：真不愧是“虎年第一猛毒”啊！

　　四、小白內心說

　　小白：大東東，“極虎病毒”這麼可怕，我可怎麼預防他呀？

　　大東：唉，所有的電腦病毒都有一致的預防方法，那就是健康上網，不瀏覽不健康、可疑的網站，只下正版軟件，及時安裝殺毒軟件及時升級，勤殺毒，勤更新病毒庫，時刻防護。對於移動設備、下載的文件先殺毒後使用。

　　小白：這麼簡單？

　　大東：可不就是這麼簡單。時刻注意，防病毒就是這麼簡單！

　　小白：那我要是不小心感染了“極虎病毒”呢？那要怎麼做呢？

　　大東：對於“極虎病毒”，你可以使用主流殺毒軟件全面查殺系統，若是失敗了，你還可以下載“極虎病毒“專殺工具，專治”極虎“，讓這隻老虎變成”病貓“！

　　小白：那要是我沒辦法下載這個專殺工具怎麼辦呢？

　　大東：那就只好採用最原始的解決方案了，將整個硬盤格式化後使用光盤重裝系統。

　　小白：萬變不離其宗，看來所有的解決方法到最後都是重裝系統呀。

　　五、那年那事

　　小白：大東東，我懷疑我可能是失憶了。

　　大東：怎麼回事！

　　小白：我發現我對2010年毫無印象，彷彿這一年就是空白的。

　　大東：哈哈，我看你挺喜歡網購和追劇的，2010年，那對於網購和視頻網站們而言可是個極爲重要的大年份。

　　小白：咦？什麼大年份？東東，你就別賣關子了，快說嘛~

　　大東：2010年團購市場特別火熱，從2010年3月開始，中國的網絡團購網站數量迅速達到了數百個被業界戲稱“百團大戰”。除此之外，2010年電子商務網站麥考林、噹噹網上市相繼在美國上市，而在12月大批量電商企業集中上市，你說這是不是大事件？

　　小白：唉，你說的這些離我好像很遠呀，我還是什麼都想不起來呢。

　　大東：好吧好吧，那我說個你肯定記得住的。上海世博會你總還記得吧？

　　圖5 上海世博會中國館

　　小白：大東東，你這麼一說我就想起來啦！我當時可是排了好長好長好長的隊伍呢！城市，讓生活更美好！

　　大東：技術，讓未來更令人期待！

　　小白：嘻嘻~

　　來源：中國科學院計算技術研究所

　　溫馨提示：近期，微信公衆號信息流改版。每個用戶可以設置 常讀訂閱號，這些訂閱號將以大卡片的形式展示。因此，如果不想錯過“中科院之聲”的文章，你一定要進行以下操作：進入“中科院之聲”公衆號 → 點擊右上角的 ··· 菜單 → 選擇「設爲星標」