2002年1月病毒观察

virusview.net

在以往的病毒观察中，我们一直以病毒作为主角，在nimda硝烟散尽，没有大的病毒疫情的背景下，我们试图扩宽一下视野，把目光投递到安全公司。
2001年岁尾，在经历了AVX出走，和由AVP更名为KAV的内乱之后，Kaspersky labs终于稳定了阵脚，新品迭出。
KAV（AVP）对一些中国用户来说还有些陌生，由于某种原因这个被尊崇为经典的反病毒产品一直没有扩展在中国的业务。但对国内的安全工作者来说，这是一个极为闪亮的名字，而多数国内的反病毒公司在搜集样本时，也是以AVP的LOG作为依据。
AVP在软件的整体规划，反病毒定义与描述，虚拟机与其发式扫描方面，都可以称为经典。其整体布局和结构在数年前就形成了相当严谨的框架，其最新的定义文件可以给当年最早的DOS版本升级，堪称奇迹。让很多人体会最深的是，其所支持丰富的exe处理工具格式，让那些试图通过这样的工具来改头换面的木马，在用户的AVP面前望洋兴叹。而其支持的包裹和压缩格式愈加丰富，连常用光盘镜像文件格式的木马都可以检测到。
但为企业用户的遗憾的是，AVP长期以来只致力于桌面反病毒产品的开发，而没有涉足企业解决方案的领域，但目前这一策略已经成为历史。
Kaspersky labs近期推出了Business Optimal，在原有强大的桌面反病毒产品线之外，又提供了对Windows NT Server、Novell NetWare、Linux、 FreeBSD和BSDi Unix的全面支持，同时也提供了针对Exchange、Notes/Domino、 Sendmail、 Qmail、 Postfix等邮件网关的防毒产品。Kaspersky Labs一如既往的秉承其严谨的特色，宣称这只是一个Small- to Mid-Size Businesses Solution。
目前作为Business Optimal中的重头产品， KAV for NT SERVER目前只能下载到波兰语版本，病毒观察通过努力，得到了KAV for NT SERVER 英文版本，并提供下载。
对KAV感兴趣的用户可以访问病毒观察avp专页http://www.virusview.net/software/avp.htm下载尝试一下。
在中国境内一度流行的窃取OQ的木马GOP已经变成了一个蠕虫在网上传播，开放后门的蠕虫，究竟算木马还是算病毒呢？
不过在反木马的阵营中也增添了有生力量，Antiy Labs发布了他们的木马查杀工具Ghostbusters（捉鬼队）的 测试版本。与Kaspersky类似，Ghostbusters也是一个学院派的产品，除了可以查杀数千种木马外，还提供了大量实用工具，如nt/2k/xp平台的端口进程关联（与fport相比，增加了对xp的
支持），进程/服务/端口管理，IE配置修复，注册表监控等等。软件内嵌了程序网络行为管制功能，可以对当前正在开始流行的反弹型木马进行防御。
病毒观察正在积极努力，争取作为Ghostbusters国内唯一指定的下载发布网站，让国内用户也能在第一时间下载使用新版本的Ghostbusters。
写到这里，我们再把目光投向病毒组织，我们以前的观察中提及过29a，包括其的核心成员之一benny，本月benny又有新作问世，这一次他的目光不再是跨win32和linux平台，而把目光转向了，微软的C#和.NET。
这个病毒长度为8k，运行后感染当前目录所有.net的可执行文件，病毒的症状是弹出一个对话框：
This cell has been infected by dotNET virus!
.NET.dotNET by Benny/29A

　这个病毒并不驻留内存，通过行为来看，其传播能力有限，活跃的vxer中，benny是比较温和的，很少见到他编写的病毒大泛滥，这次他依旧传承以往风格，没有散布病毒，而是直接提供给了反病毒企业。
也许类似benny这样的邪派高手，也有几分正气和自己的原则，只是为了证明，反病毒技术趋势是在我的引导下前进。但不论如何，反病毒产品和安全技术，确实是在与恶意程序与攻击手段的不断对抗中发展进步的的，这种对抗将贯穿信息技术发史，可能永远不会终结。