【51CTO.com綜合報(bào)道】創(chuàng)建文件、惡意篡改IE主頁(yè)這些司空見慣的病毒行為，人們?cè)缫咽煜?。各家殺毒軟件的掃描引擎也早就?duì)這些敏感字符串加以監(jiān)控，只要程序中包含這些內(nèi)容就將被視為可疑文件，從而大大降低病毒的存活幾率。但"頑強(qiáng)"的病毒作者們總會(huì)想盡一切辦法來進(jìn)行對(duì)抗。

最近，AVG中國(guó)病毒實(shí)驗(yàn)室就偵測(cè)到一種新型的bat病毒，正在悄然蔓延。

與以往常見bat病毒的不同在于：此次的病毒是將內(nèi)容以十六進(jìn)制形式分散寫入多個(gè)文件，然后將這些文件進(jìn)行拼接組合，生成最終的惡意程序。

拼接的方法是采用copy A /b + B /b + ...（/b以二進(jìn)制形式）。

將眾多"正常"文件巧妙組合成病毒文件，拼接過程中沒有出現(xiàn)明文的字符串，降低了被檢測(cè)到的幾率。

下面來看下病毒的具體行為：

1.首先在D盤下創(chuàng)建msn\gaming文件夾，設(shè)置屬性為系統(tǒng)+隱藏。

2．在桌面創(chuàng)建"淘"字樣圖標(biāo)，修改IE主頁(yè)，添加導(dǎo)航網(wǎng)頁(yè)和釣魚網(wǎng)頁(yè)，自啟動(dòng)。

3.拼接生成2個(gè)exe文件link.exe和Ker.exe，用于啟動(dòng)tmptwo.bat, "start /min"是最小化運(yùn)行，從而降低了被發(fā)現(xiàn)的幾率。

Tmptwo.bat用于啟動(dòng)fuck.bat。

fuck.bat用于實(shí)現(xiàn)2的功能。(該文件也是拼接生成)

4.清理這些用于拼接的臨時(shí)文件。

在后續(xù)的變種中，為了逃避殺軟的查殺，病毒作者在原有基礎(chǔ)上做了修改。

一種是修改bat文件的頭部，加入了用于混淆的垃圾代碼。

另一種是給批處理文件加密，方法是在文件頭部加上FFEF，讓記事本一類的文本編輯器以UNICODE方式打開批處理文件，就會(huì)顯示亂碼，但Windows本身并不認(rèn)為這個(gè)文件是UNICODE格式文件，依然依次執(zhí)行文件中的每條命令，批處理文件仍然能夠正常運(yùn)行。

切換到十六進(jìn)制模式顯示如下代碼：

如果強(qiáng)行在要被加密的批處理文件頭增加UNICODE文件頭FFFE，肯定會(huì)造成被加密批處理文件的第一條命令執(zhí)行錯(cuò)誤，而作者，在FFFE后面加了一個(gè)0D0A，這是個(gè)回車換行命令，這樣就不會(huì)影響被加密文件第一條命令的執(zhí)行。

AVG已經(jīng)將其檢測(cè)為Bat/Agent，能有效阻止該惡意軟件。在這里，AVG不得不提醒廣大用戶，及時(shí)更新病毒庫(kù)、定時(shí)查殺，養(yǎng)成良好的上網(wǎng)習(xí)慣才是王道；另外，網(wǎng)上沖浪特別是在網(wǎng)購(gòu)的時(shí)候，看好官方網(wǎng)站再登入，千萬(wàn)不要被山寨網(wǎng)購(gòu)網(wǎng)站所迷惑。