昨天水果日報 "獨家" 批露阿扁下台病毒後, 陸續有人開始詢問相關的訊息, 於是找到 Sample 之後, 研究了一下。這隻病毒在對岸叫做 "愛國病毒", 不過, 是不是愛國可能每個人政治立場不同解讀也不同, 所以, 繼然開頭四個字是阿扁下台, 我就叫它阿扁下台病毒好了。
這隻病毒會檢查作業系統的語系, 若是繁體中文的語系時, 則會顯示充滿政治意識的 pop-up 訊息。
不過, 這樣的訊息, 卻不是每個人都看得到, 因為繁中的預設顯示非 unicode 的字是繁體中文, 而訊息裡是簡體中文, 所以在預設的環境裡, 大部份的人看到的都是一堆亂碼。需要把區域設定裡的顯示非 unicode 文字的選項顯示為簡體中文, 才看到到這些字。
拿到了二個 Samples, 就丟到幾個專門在做病毒分析的網站做分析, 不過, 卻分析不了太多資訊, 因為這幾個網站的語系, 都不是繁體中文。
還沒有時間去做進一步的分析, 不過, 從對岸的文章裡的描述, 這隻病毒如果檢查到英文的語系, 那就會顯示 " Your luck's so good", 中式的英文, 顯示病毒的作者, 需要多花點時間學學英文 :)
若是日文語系, 則會修改開機區, 造成無法開機。我手上的二隻 Sample, 第一隻(KDH.exe) 沒對我的繁中造成Crash, 第二隻變種病毒(Patriot.exe), 執行完後, 卻讓我的 VMware 開不了機了。
嗯... 雖然水果日報說台灣目前還沒有人感染, 不過, 我相信很快的透過各種管道, 還是有可能會散播這隻病毒, 透過 MSN, Skype, 或是掛馬網站, 或是電子郵件的附檔或聯結, 可能很快的就會 "在台上市" 了, 請大家要小心。
還好, 到目前為止 (10/18), 賽門鐵克的掃毒軟體已經可以掃到這隻病毒, 以及變種病毒了。
使用其他家防毒軟體的, 請參考 VirusTotal 的掃描分析結果, 看你的防毒軟體是不是已經能掃到這隻病毒。
而另一隻變種, 目前有好幾家都沒掃到, 我電腦裡裝的賽門鐵克是可以掃到, 不過還是請大家要小心, 那隻變種破壞力更強。
最後, 還是提醒各位, 沒事不要亂接收 MSN, Skype 的檔案聯結, Email 的附檔或是聯結也不要亂按, 那麼, 你中毒的機會會小多了。
