金山毒霸云安全中心近日在国内率先截获了一个针对计算机程序员、尤其是Delphi使用者的可怕病毒“软件流感”(Delphi梦魇Win32.Induc.b.820224)。这款新型病毒专门感染Delphi程序员的电脑,一旦成功,程序员写出的任何程序,都将从源头带有该病毒!普通用户一经使用这些“正常程序”立刻“被感染”。目前“软件流感”已涉及游戏破解,汉化,包括外挂等,一些正常的软件分发平台如下载站、网盟亦深受影响。
“软件流感”专杀工具地址: http://bbs.duba.net/thread-22092705-1-1.html
新型攻击手段 程序员成“病毒播种机”
据了解,Delphi是Windows应用程序开发工具,由于同时兼备了VC功能强大和VB简单易学的特点,已成为程序员至爱的编程工具。
金山毒霸反毒霸工程师李铁军介绍,“软件流感”打破了之前的一对多的感染模式,而是从软件源头下手,通过一对一感染程序员电脑,进而扩大到普通用户群。当程序员的编译机被感染后,“生产”出的所有exe和dll会带毒,并被当作正常文件被正式发布出去。这种传播方式借助了正常软件的传播渠道,传播量非常大。
根据金山毒霸云安全系统的监测,目前已有多家知名软件厂商的产品感染了“软件流感”,所影响的用户数量呈几何级增长,短时间内已达到130万。
李铁军介绍,“Delphi梦魇”随着被感染文件进入电脑系统时,通过循环检测注册表键值的方法查找dephi的安装目录,然后将恶意代码添加到每个新的dephi工程中。于是,程序员们所编写的程序从源头上全部带毒,一个个隐秘的“病毒兵工厂”就这样诞生了。
潜伏期未知 “软件流感”携带者恐大爆发
更可怕的是,通过对受感染文件的分析,金山毒霸反病毒工程师发现,“软件流感”在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招。
据金山毒霸反病毒专家李铁军介绍,“软件流感”是从国外传进来的,金山毒霸云安全中心在国内发现“软件流感”传播态势的第一时间提供了专杀解决方案(http://bbs.duba.net/thread-22092705-1-1.html)。但是由于普通用户感染“软件流感”的症状并不明显,从而丧失了对“流感”的防御。“因为病毒伪装得实在太好了,以致全球那么多软件厂商都没发现它。或者是即便发现,也没觉得它不正常,当杀毒软件报某款知名软件含毒时,用户多半想到的是杀毒软件误报而非中毒。”李铁军说道。
就这样,通过程序员编写的软件,含毒文件无限扩散到普通用户电脑中,悄然潜伏。
目前,“软件流感”的源代码已经在网络中完全公布流传,虽然“软件流感”病毒只潜伏并未运行。但金山毒霸反病毒工程师担心,在国内广大唯利是图的黑客眼中,这无疑是一份大大的馅饼。
自三月份刑法新条例出台、政府部门对病毒木马编写以及黑客行为加大打击后,不法黑客的生意越来越难做,突然出现这种有助降低犯罪技术门槛的安全事件,黑客绝不会轻易放过。金山毒霸反病毒工程师无法排除国内病毒作者对其进行改造、进化的可能。一旦他们对病毒加入下载木马、盗号等恶意行为指令,很难说会DIY出怎样的猛毒。
“软件流感”防御方案
普通用户:
使用金山毒霸2009http://www.duba.net/并升级到最新版本,然后全盘扫描,清除
流感和已被它感染的delphi程序。 或下载金山毒霸“软件流感”专杀工具进行全盘扫描。
软件厂商及程序员:
1.使用金山毒霸“软件流感”专杀工具http://bbs.duba.net/thread-22092705-1-1.html检测编译环境是否感染,如果已经感染,则通过该工具进行全面扫描并清除。
2. 对于已经编译的文件和安装包,建议使用金山毒9
7
3
1
2
4
8
: