“一直都很喜歡槍戰(zhàn)網(wǎng)游穿越火線(玩家習(xí)慣縮寫為CF)，看論壇上有人說CFm4輔助插件可穿墻鉆地，就下載了用。結(jié)果沒看到輔助效果，電腦被強制安裝了一些軟件，帳號還被盜了。”游戲玩家大奔這樣描述自己的經(jīng)歷。

　　金山毒霸安全專家指出，游戲玩家在提供CFm4輔助插件的網(wǎng)站下載的插件，實為一款技術(shù)型病毒。這種技術(shù)型病毒用多種復(fù)雜的變形手段成功逃過眾多殺毒軟件的查殺，模擬鼠標點擊安裝多款互聯(lián)網(wǎng)軟件，金山毒霸將病毒形象的命名為“變形金剛”。

　　圖1 偽裝成CFm4外掛“變形金山”病毒

　　據(jù)金山毒霸云安全中心的感染統(tǒng)計數(shù)據(jù)，“變形金剛”病毒已經(jīng)感染超過16萬臺PC。檢索百度指數(shù)，發(fā)現(xiàn)CFm4的指數(shù)上升非常明顯，據(jù)此可推算受害玩家眾多。

　　圖2 CFm4的搜索指數(shù)增長迅速，隨之伴隨的是病毒感染量攀升

　　9月1日，兩高司法解釋強化了對病毒集團的打擊力度，病毒集團的行為也隨之發(fā)生變化。這個“變形金剛”病毒的目的就是推廣互聯(lián)網(wǎng)軟件，為某些商業(yè)網(wǎng)站刷流量來騙取推廣收入，盜號反而不是病毒的主要功能。

　　“變形金剛”病毒在技術(shù)上有很多亮點，這些技術(shù)特點使“變形金剛”病毒的生存周期大大延長。在感染16萬臺PC之后，仍有多個殺毒軟件無法查殺。這些亮點包括：

　　1.URL變形：用以推廣病毒的下載鏈接快速變形，使殺毒軟件攔截有害下載地址的方法迅速失效。

　　2.文件MD5變形：下載的病毒文件快速更新，使得依賴MD5識別的殺毒軟件迅速無效。

　　3.下載一段時間后，所有惡意行為關(guān)閉：就象常見的軟件過期，令殺毒軟件難以找到病毒源頭。

　　4.利用暴風(fēng)影音正常exe加載病毒DLL：病毒的執(zhí)行模塊(.dll文件)由帶數(shù)字簽名的暴風(fēng)程序來間接啟動，用以繞過殺毒軟件的主動防御。

　　5.模擬鼠標點擊靜默安裝好壓、酷盤、lavagame (捆綁后臺安裝)：病毒的這種行為更象是用戶人為操作，使殺毒軟件的主動防御被成功繞過，病毒推廣互聯(lián)網(wǎng)軟件以騙取軟件推廣費，這是病毒集團獲利的重要途徑。

　　圖3 病毒模擬鼠標點擊來安裝推廣軟件，以騙過殺毒軟件的主動防御

　　6.后臺開啟IE，刷流量：這是病毒的目的之一，刷流量可以騙錢。

　　7.使用修改后的fastfat.sys來加載病毒驅(qū)動程序(fastfat.sys正常情況下是Windows系統(tǒng)文件)，病毒用這個驅(qū)動模塊來實現(xiàn)自身保護，以提高被殺毒軟件清除的難度。

　　8.關(guān)機回寫：這是病毒驅(qū)動程序的特別之處，當用戶關(guān)閉電腦時，病毒的驅(qū)動程序會重新向硬盤寫入程序，以保證下次開機時，病毒程序仍能自動運行。這種方法曾經(jīng)在3721這樣的流氓軟件中廣泛使用。

　　9.“變形金剛”病毒母體和一些盜號木馬捆綁安裝，以盜竊穿越火線(或其他網(wǎng)游)帳號密碼。

　　金山毒霸安全專家指出，這種技術(shù)型病毒，金山毒霸2012內(nèi)置的K+防御可以完美攔截。一些游戲外掛使用者不顧安全軟件的安全警告執(zhí)意運行“外掛”程序，結(jié)果令電腦淪陷。在電腦上“被安裝”好壓、酷盤、lavagame的玩家可下載金山頑固木馬專殺來查殺病毒。

　　圖4 金山毒霸K+系統(tǒng)防御可攔截“變形金剛”病毒

　　名詞：

　　穿越火線：騰訊運營的一款韓國聯(lián)網(wǎng)槍戰(zhàn)游戲，玩家一般簡稱為CF，在中國擁有大量粉絲，高峰時同時在線量達300萬人。火熱的CF網(wǎng)游吸引了大量開發(fā)制作外掛或輔助工具的工作室，其中混入了大量以盜號為目的的病毒，一些專門分發(fā)外掛的網(wǎng)站還會突然將外掛替換為病毒。