病毒也玩即时升级 正面挑战杀软

　　众所周知，传统特征码杀毒技术的工作流程是“截获-处理-升级”，虽然这种技术已经非常成熟可靠，但总是滞后于病毒的传播。如果病毒模仿杀毒软件主动即时升级功能，在杀毒软件“截获-处理-升级”过程之间主动进行升级，传统杀毒软件岂不会再次陷入无法查杀的困境？

　　近日，微点主动防御软件自动捕获了一种具有“主动及时升级”功能的病毒，与常见的电脑病毒不同的是，该名为“Backdoor.Win32.Agent.esg”的木马病毒，采用了与杀毒软件“实时升级病毒库”相类似的升级方式，进行病毒自身的及时更新，该病毒通过后台自动连接到某一网络地址，进行病毒最新版本的及时下载升级，争取第一时间得到更新自身，以逃避传统杀毒软件对病毒的查杀。

　　据了解，该后门程序激活后，在系统目录下生成KUSN33SD.EXE和KUSN433SD3.DLL文件，并且修改系统时间，试图使部分杀毒软件过期失效；修改注册表，将KUSN33SD.EXE注册为名为kusn33sd的服务，并启动该服务；遍历系统进程，将自身注入到winlogon.exe进程中；修改IE主页；在后台开启一个IE进程，并注入到该IE进程中，并试图突破防火墙建立网络连接；获取用户的MAC地址、系统版本等信息，发送给黑客；联网检测病毒最新版本信息，自动将自身更新为病毒的最新版本。

　　图1为具有主动防御功能的安全软件的报警图

　　图2为微点升级后已知特征报警图

　　据微点反病毒专家介绍，近年来病毒编写技术日新月异，病毒无时无刻不在与反病毒技术进行较量。除被动的免杀外，病毒如今甚至猖獗到使用“主动及时升级”功能与传统杀毒软件公然进行正面对抗。业界专家普遍认为，随着安全形势的发展，杀毒软件的杀毒能力、升级效率和防护能力等核心技术指标遭到了前所未有的挑战，近年来反病毒行业整体向主动防御过渡大势所趋。反病毒专家提醒广大网友，建议广大用户使用主动防御安全软件，彻底根治此类病毒的传播与破坏。