回复:国外的jav不如国内的jav
铁军只是从“使安全软件挂掉”这一方面来谈,从这一方面上看,把zlob算成AV终结者太抬举它了,如果只是一个TerminateProcess的话。
实际上,从“使安全软件挂掉”这一方面来谈,不得不承认中国的病毒在这一方面有领先之处,领先的地方不在于技术,而在于“投机取巧”的本事。
找窗口,模拟点击按钮,找相关文件,找版本信息……这些根本没有技术含量的方法被中国的AV终结者广泛使用,以致于在这些病毒面前,连金山词霸都因为是made in kingsoft而被ANTI,这些东西,
说白了就是流氓手段(无技术含量而有效),外国人恐怕是没有中国人这么“爱动歪脑筋”。然而从单纯的技术角度而言,zlob是超越Javhqc的(不是指清除难度,也不是指对系统的影响,而是指编写者本身对编程的了解)。
zlob到现在的变种据说有几千几万个,几乎每天都在更新,加密方式和细节不断变换,杀毒软件对新变种应接不暇(说实话,如果杀毒软件根本查不到你,那你还干嘛费劲做那么多ANTI?)。因此zlob自身使之长存的方式是不断变种,使杀毒软件对之“视而不见”。
其次,
AV终结者等基本都是病毒的下载器。也就是说它们除本身发挥病毒作用之外,其重要功能是下载安装其他的病毒或恶意程序。
一个病毒下载器的辅助功能,与它要下载的病毒类型同样密切相关。
AV终结者类病毒,非要与安全软件“鱼死网破”,最大的问题就是“一点都不隐蔽”,就算是最普通的用户,发现安全软件打不开或被删除的时候也就马上意识到病毒的存在了。查杀的困难,最终结果也可能只是导致一次GHOST而已。所以,像这样越是狠越是不留余地的病毒,本身死得就越快。
中国的AV终结者的凶狠与短命,注定这种做法只是得到“短期收益,快速见效”,而绝不适合于需要发挥“长效”的病毒采用。因此我们看到,利用这种方法下载下来的几乎全部都是盗号木马,这也是中国的特色,因为盗号木马正符合“短期收益”的特点,只要一次性的将你的相关帐户密码信息发送出去了,这个木马就可以功成身退了,而不必要长期驻留你的系统。
而相反的,
如果下载器要下载下来的是后门程序,需要能长期驻留并隐蔽地操控用户的系统,“隐蔽性”就会变成它们的最重要要求,在这种情况下,下载器和下载下来的后门程序同样不能大摇大摆地与安全软件唱对台戏,否则就会立即暴露“系统中有病毒存在”这个事实,就达不成长期驻留系统的目的。因此,
这种情况下的下载器和后门程序,只能以隐蔽为先,将会选择“让杀毒软件对我视而不见”,而不是“把杀毒软件干掉而暴露我自己”。
因此,中国的AV终结者的狠劲,一个是与中国的病毒编写者固有的“流氓软件习气”分不开,一个也是与中国盗号木马成为主流的病毒构成分不开。
