对于近期网上流传的 “鬼影”病毒,卡巴斯基实验室表示广大计算机用户不必过于惊慌。因为卡巴斯基在最早截获此病毒样本进行分析后就发现,“鬼影”病毒虽然危害性强,但如果用户计算机上安装了可靠的反病毒软件,不会轻易被感染。
如很多人所知,此病毒一旦感染计算机,的确可以强行关闭一些常见的安全软件。从病毒体内可以看到以下字符串:
但是对于具有强大实时监控能力以及启发式分析功能的卡巴斯基安全软件,“鬼影”病毒却无法突破其层层防御,达到感染计算机的目的。例如下载一个包含此病毒的压缩包文件(已加密),在打开卡巴斯基全功能安全软件2010监控的前提下,我们试图将此病毒解压到桌面,输入密码后试图解压时,卡巴斯基弹出以下提示:
可以看到,病毒直接被拦截,并且提示病毒名称为:Trojan.Win32.KillAV.fqi ,即为一种可以对抗反病毒软件的恶意程序。卡巴斯基已经从根本上杜绝了此病毒进入用户计算机的可能。
另外,就算“鬼影”病毒针对卡巴斯基安全软件做了免杀处理,更改了其特征,仍然无法造成破坏。做过免杀后,病毒虽然可以绕过卡巴斯基的特征检测,却无法逃过卡巴斯基强大的启发式扫描对其进行拦截。如下图所示:
对已做过免杀的病毒文件进行扫描,卡巴斯基立刻识别出其释放的rookit恶意程序,从而对其进行了拦截。这是因为卡巴斯基的启发式引擎可以完美模拟病毒的执行,截获其试图释放的文件。
所以,卡巴斯基实验室提醒广大卡巴斯基用户不必闻“鬼影”色变。只要您正常开启卡巴斯基安全软件的实时监控,并且及时升级反病毒特征库,就不会轻易被病毒感染。