揭秘“AV终结者”病毒的生态链

　　第一阶段：传播“AV终结者”病毒

　　最快速有效的传播手法，是通过攻击企业公共服务器（通常是IDC机房托管的服务器），攻击成功后，直接在服务器上植入木马，再利用ANI漏洞迅速传播。不仅如此，攻击者还会在被攻陷的服务器上植入ARP攻击程序，成功将挂马成果扩大到整个机房。类似的手法，可以在攻入企业内部网后，发起ARP攻击行为，迅速让挂马现象在整个公司网络中漫延。

　　另一种作法更直接，直接把制作完成的“AV终结者”病毒通过U盘，在网吧等公共上网场所人为传播。方法很简单，到目标机器上插一下U盘就办到了。

　　第二阶段：“AV终结者”病毒活跃期

　　“AV终结者”病毒成功入侵后，几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持，关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒，病毒干脆修改系统配置，不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。

　　第三阶段：木马活跃期

　　经过前一阶段的准备，“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后，病毒内置的下载器功能大显身手，数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上，这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况，要取决于木马控制者的喜好。

　　为何判断这是盗号集团在企业化公司化运作？

　　理由是，在上面“AV终结者”病毒发展的三个阶段中，任一阶段均使用了多种不同的病毒和攻击手段，病毒不再是单打独斗，而是发展到协同作战的程度。其复杂度体现在：传播阶段的手法多样性；入侵后对抗杀毒软件技术的复杂性；木马收获阶段，几乎面面俱到，无所不拿。综合这些特点，很难想像，一个人或者仅仅几个人如何去完成这种复杂的任务。

　　谁在指挥这个复杂的利益链？

　　答案当然是受益者，“AV终结者”病毒会自动连接到一些服务器下载各种木马，这些服务器成为整个利益链条中的聚合器。那么，拥有或控制这些站点的人，应该是“AV终结者”病毒利益链中最直接的受益者。

　　我们分析了部分“AV终结得”病毒的下载站，发现变种不同，下载站也会有所区别。这里仅公布其中一个下载站的信息：

　　一个叫蓝色精灵的组织在2007年3月14日使用shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名，有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载，拥有这个站点或控制这个站点的人，有重大作案嫌疑。

　　熊猫烧香的作者李俊落网了，李俊肯定不会是唯一的，下一个会是谁呢？