最近，江民反病毒中心監(jiān)測(cè)到，一種名為“千足蟲”(Trojan/Kdcyy.a)的變種病毒正在網(wǎng)絡(luò)迅速傳播。該病毒能夠利用多種手段終止殺毒軟件運(yùn)行，并可導(dǎo)致被感染計(jì)算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏、死機(jī)等現(xiàn)象，嚴(yán)重危害被感染計(jì)算機(jī)的系統(tǒng)和數(shù)據(jù)安全。
    江民反病毒專家介紹，與其它關(guān)閉殺毒軟件的病毒不同的是，該病毒利用了多達(dá)六種強(qiáng)制關(guān)閉殺毒軟件和干擾用戶查殺的反攻手段，許多自身保護(hù)能力不夠強(qiáng)壯的殺毒軟件在病毒面前紛紛被折。病毒運(yùn)行后，首先在被感染計(jì)算機(jī)的后臺(tái)實(shí)時(shí)監(jiān)視當(dāng)前系統(tǒng)所運(yùn)行的程序，一旦發(fā)現(xiàn)某些與安全相關(guān)軟件的程序(包括國(guó)內(nèi)外所有知名殺毒、安全軟件和反病毒工具軟件)正在運(yùn)行，則強(qiáng)行將其關(guān)閉并退出，同時(shí)所有相關(guān)安全軟件的升級(jí)程序和安裝程序也都無法啟動(dòng)運(yùn)行。病毒在被感染計(jì)算機(jī)系統(tǒng)后臺(tái)監(jiān)視system32\Com目錄下的惡意程序“LSASS.EXE”，如果該進(jìn)程被終止，則立即重新調(diào)用運(yùn)行。在所有用戶級(jí)權(quán)限的進(jìn)程中循環(huán)加載運(yùn)行惡意程序“LSASS.EXE”，直到被感染計(jì)算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏、死機(jī)現(xiàn)象為止。強(qiáng)行刪除注冊(cè)表相關(guān)項(xiàng)，破壞安全模式關(guān)聯(lián)，致使用戶無法進(jìn)入安全模式。利用進(jìn)程映像劫持技術(shù)，強(qiáng)行添加注冊(cè)表相關(guān)鍵，達(dá)到終止部分殺毒軟件啟動(dòng)運(yùn)行的目的。
    反病毒專家介紹，該病毒原型也被稱為“如雪”或“磁碟機(jī)”，系統(tǒng)一旦中毒后，病毒會(huì)感染所有可執(zhí)行文件，普通用戶很難手工清除。針對(duì)該病毒，江民殺毒軟件KV2008已及時(shí)升級(jí)病毒庫，并針對(duì)該病毒的特征對(duì)殺毒引擎采取了特殊保護(hù)機(jī)制，確保KV2008不會(huì)被“千足蟲”關(guān)閉。專家提醒KV用戶及時(shí)升級(jí)病毒庫，防殺“千足蟲”病毒于系統(tǒng)之外。