金山毒霸（KingsoftAntivirus）是中國(guó)的反病毒軟件，從1999年發(fā)布最初版本至2010年時(shí)由金山軟件開(kāi)發(fā)及發(fā)行，之后在2010年11月金山軟件旗下安全部門(mén)與可牛合并后由合并的新公司金山網(wǎng)絡(luò)全權(quán)管理。  

金山毒霸隱蜂挖礦病毒專殺工具是金山毒霸推出的一款專殺挖礦木馬病毒的軟件。金山毒霸首家支持對(duì)“隱蜂”Bootkit挖礦木馬的查殺防御，并在詳細(xì)分析病毒行為后，第一時(shí)間推出了“隱蜂”Bootkit挖礦病毒專殺工具，以控制該病毒再次傳播。  

“隱蜂”Bootkit木馬的技術(shù)特點(diǎn)  

從樣本模塊的字符串信息中，金山毒霸安全研究院發(fā)現(xiàn)該Bootkit的內(nèi)部項(xiàng)目代號(hào)為“Mellifera(蜜蜂)”，所以本次的Bootkit木馬被命名為“隱蜂”。概括來(lái)說(shuō)，“隱蜂”Bootkit木馬的技術(shù)特點(diǎn)主要體現(xiàn)在:  

1、對(duì)抗分析檢測(cè)，隱蔽性很強(qiáng)。一旦發(fā)現(xiàn)ARK工具、抓包軟件或者安全軟件，甚至是任務(wù)管理器，病毒都會(huì)立即結(jié)束挖礦活動(dòng)，小心翼翼地躲藏起來(lái)  

2、架構(gòu)設(shè)計(jì)靈活，復(fù)雜度專業(yè)度很高。最直觀的感受，我們從“隱蜂”病毒中解壓出來(lái)的各類內(nèi)核模塊、R3插件以及配置文件多達(dá)50+,病毒代碼結(jié)構(gòu)的復(fù)雜程度可見(jiàn)一斑。  

3、系統(tǒng)兼容穩(wěn)定性很好。“隱蜂”在系統(tǒng)引導(dǎo)過(guò)程中的掛鉤時(shí)機(jī)選擇、掛鉤點(diǎn)特征搜尋和代碼細(xì)節(jié)處理上都非常完善，支持主流windows操作系統(tǒng)版本，同時(shí)兼容X86/X64架構(gòu)。“隱蜂”Boot劫持代碼中也可以看到一些Bootkit前輩的身影，堪稱后輩中的集大成者。  

從金山毒霸安全實(shí)驗(yàn)室監(jiān)控到的數(shù)據(jù)來(lái)看：本次的“隱蜂”Bootkit木馬變種從3月初開(kāi)始測(cè)試傳播，得益于其強(qiáng)悍的隱蔽性和對(duì)抗分析能力，到至今的三個(gè)多月都不曾被外界發(fā)現(xiàn)曝光。病毒的項(xiàng)目版本號(hào)也從0.1迭代至目前的1.x，在經(jīng)歷了幾輪網(wǎng)頁(yè)掛馬和流氓捆綁的傳播小高峰后，該僵尸網(wǎng)絡(luò)已經(jīng)逐漸成形，預(yù)估目前全網(wǎng)的感染用戶50w+。