周六的早餐，腾飞是坐在自己卡位上吃的，一杯豆浆，两个菜包子。这是他连续第三周的周末在单位吃早餐。自从2月底磁碟机爆发以来，他和毒霸的其他反病毒工程师们就再没又清闲过。“快吃快吃，吃完把昨晚的那几个AUTO木马样本给我。”

图1　病毒分析师的早餐

经过各杀毒软件厂商近一个月的围追堵截后，磁碟机病毒事件已经平息下去，虚拟世界恢复了往日的平静，游戏玩家们又开始投入各网游的激烈战斗中。但对于毒霸的反病毒工程师们来说，他们却丝毫不敢放松警惕。

图2　分析师在工作中

经过对AV终结者、机器狗、磁碟机等一系列“重量级”病毒，以及磁碟机“藏匿”后涌现出的新病毒的分析，腾飞和同事们发现，在磁碟机事件后，国内计算机的开机蓝屏、杀毒软件无法启动的案例依旧没有减少，而罪魁祸首是一批具有AUTO传播功能的下载器程序。可是大部分用户和一些安全厂商沉浸在“打败”磁碟机的喜悦中，仅仅将这些现象作为常规病毒来处理，全然没有意识到一个不同于磁碟机的“慢性病毒”已接过磁碟机的接力棒。

图3　某个下载器的喽啰名单

“真不知道做病毒的人还有完没完，刚送走磁碟机这么一个瘟神，又来了堆AUTO小鬼。”腾飞摇着头笑笑。他认为病毒作者之间是有直接联系的，最近连续的几个重量级病毒可能是病毒作者们向反病毒行业轮流发起的挑战，为的是削弱安全软件厂商们的意志。“下载器一个又一个，我们的时间全耗在上面了，平时回家就很晚，原本还指望着周末能和老婆去湾仔吃海鲜，结果还是得吃食堂。”

“要知足！要知足！食堂免费又好吃！结婚的男人耳朵太软了！”另外几个仍打着光棍的反病毒工程师故意嚷嚷着。

腾飞从压缩包里找出一个病毒，把它丢进OLLYDBG，几秒钟后病毒的二进制代码就全部显示了出来。“这段时间我们分析了不少病毒，从代码上就可以很明显的看出，这些病毒在一些关键技术上具有相似之处。”腾飞说。“关闭进程，解除安全软件的印象劫持，恢复SSDT表，主动防御功能就失效了，好几个病毒都是这么干。”

[1] [2] 下一页