金山毒霸反病毒专家戴光剑表示，“AV终结者”的种种表现以及传播和作案手段都显示出其背后集团化、企业化运作的痕迹。为此戴光剑作了一个比喻，他表示，“AV终结者”病毒就像一把钥匙，一把开启用户电脑安全之门的钥匙，将大量盗号木马、风险程度等通统放进来，致使用户的电脑内的重要私人信息、网络资产面临着严峻的威胁。而这一过程并非是一个人能够操控的，整个传播和作案过程都是经过精心策划的。

　　经过分析，“AV终结者”病毒主要通过两种渠道传播：移动存储设备以及攻击企业的服务器进而挂马。

　　“一个仅利用移动存储设备进行传播的病毒竟然波及范围如此之光，其最大的可能性就是人为放毒。”戴光剑分析指出。“病毒的幕后集团操纵或者买通了一部分人将写好的病毒程序拷贝到U盘或者移动硬盘上，然后到网吧等公共上网场所将这些移动存储设备插入电脑，而这些公共电脑的使用者就会在一无所知的情况下再通过移动存储设备将该病毒的传播范围进一步扩大。”

　　而在第二种传播渠道中，戴光剑分析认为，“病毒的幕后集团进行了很好的分工，一部分人负责攻击企业的服务器，攻击成功后另一部分人直接在服务器上配置利用ANI漏洞传播的病毒挂马，还有一部分人将这种挂马行为扩大到该服务器托管机房中的其他服务器上。”

　　完成了“放毒”工作后，“AV终结者”的目的很明确，就是将用户的系统彻底变成“聋哑人”，继而给一切的木马病毒打开大门，实施各种作案行为。

　　“AV终结者”先将用户的windows防火墙、自动更新、杀毒软件等全部干掉，并使一切含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社区”“杀毒”、“专杀”等敏感字符串的软件和进程以及与此有关的网站全部无法打开。接下来，“AV终结者”病毒就会在用户毫无觉察的情况下从一些网站下载数百种盗号木马、广告木马、风险程序……

　　戴光剑认为“AV终结者”病毒从传播到实施作案，任何一个阶段都采用了多种不同种类的病毒和攻击手段，任务的复杂度超过了以前出现的所有病毒。而它的过人之处还在于其高度的隐蔽性，大量普通用户即使感染了该病毒，也会豪无察觉，而虽然“AV终结者”病毒的泛滥与“熊猫烧香”如出一辙，但与“熊猫烧香”的作者李俊相比，“AV终结者”病毒作者更加小心谨慎，手法也更隐晦。

　　戴光剑表示，如果对“AV终结者”分析成立，从放毒到盗号等非法操作，整个过程都

[1] [2] 下一页