我在思考另一个问题——“AV终结者”病毒，是否和“熊猫烧香”一样，是盗号集团的杰作？？

　　首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒，如何能引起这样大规模的传播呢？仅仅靠病毒程序的自然衍生，显然不能做到这一点。那么，这个病毒极可能是人为操纵的结果。

　　那么“AV终结者”病毒，最开始是通过什么途径入侵的呢？这个病毒后面是不是还隐藏着更多的迷？

　　在AV终结者之前，有两类病毒值得我们去关注，一是“Risk.exploit.ani”病毒，是利用ANI漏洞广泛挂马。另一类，是利用ARP欺骗，劫持整个局域网会话，被劫持的局域网电脑用户访问任何网站都会同时从16.us站点（还有更多的下载站）下载木马。

　　和熊猫烧香病毒案比起来，“AV终结者”表现得更加隐蔽，该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度，远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。

　　第一阶段：传播“AV终结者”病毒

　　最快速有效的传播手法，是通过攻击企业公共服务器（通常是IDC机房托管的服务器），攻击成功后，直接在服务器上植入木马，再利用ANI漏洞迅速传播。不仅如此，攻击者还会在被攻陷的服务器上植入ARP攻击程序，成功将挂马成果扩大到整个机房。类似的手法，可以在攻入企业内部网后，发起ARP攻击行为，迅速让挂马现象在整个公司网络中漫延。

　　另一种作法更直接，直接把制作完成的“AV终结者”病毒通过U盘，在网吧等公共上网场所人为传播。方法很简单，到目标机器上插一下U盘就办到了。

　　第二阶段：“AV终结者”病毒活跃期

　　“AV终结者”病毒成功入侵后，几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持，关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒，病毒干脆修改系统配置，不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。

[1] [2] 下一页