游戏玩家在提供CFm4辅助插件的网站下载的插件，实为一款技术型病毒。这种技术型病毒用多种复杂的变形手段成功逃过众多杀毒软件的查杀，模拟鼠标点击安装多款互联网软件，金山毒霸将病毒形象的命名为“变形金刚”。

    这个“变形金刚”病毒的目的就是推广互联网软件，为某些商业网站刷流量来骗取推广收入，盗号反而不是病毒的主要功能。

    “变形金刚”病毒在技术上有很多亮点，这些技术特点使“变形金刚”病毒的生存周期大大延长。在感染16万台PC之后，仍有多个杀毒软件无法查杀。这些亮点包括：

   1.URL变形：用以推广病毒的下载链接快速变形，使杀毒软件拦截有害下载地址的方法迅速失效。

    2.文件MD5变形：下载的病毒文件快速更新，使得依赖MD5识别的杀毒软件迅速无效。

    3.下载一段时间后，所有恶意行为关闭：就象常见的软件过期，令杀毒软件难以找到病毒源头。

    4.利用暴风影音正常exe加载病毒DLL：病毒的执行模块（.dll文件）由带数字签名的暴风程序来间接启动，用以绕过杀毒软件的主动防御。

    5.模拟鼠标点击静默安装好压、酷盘、lavagame （捆绑后台安装）：病毒的这种行为更象是用户人为操作，使杀毒软件的主动防御被成功绕过，病毒推广互联网软件以骗取软件推广费，这是病毒集团获利的重要途径。

    6.后台开启IE，刷流量：这是病毒的目的之一，刷流量可以骗钱。

    7.使用修改后的fastfat.sys来加载病毒驱动程序（fastfat.sys正常情况下是Windows系统文件），病毒用这个驱动模块来实现自身保护，以提高被杀毒软件清除的难度。

    8.关机回写：这是病毒驱动程序的特别之处，当用户关闭电脑时，病毒的驱动程序会重新向硬盘写入程序，以保证下次开机时，病毒程序仍能自动运行。这种方法曾经在3721这样的流氓软件中广泛使用。

    9.“变形金刚”病毒母体和一些盗号木马捆绑安装，以盗窃穿越火线（或其他网游）帐号密码。

安全专家指出，一些游戏外挂使用者不顾安全软件的安全警告执意运行“外挂”程序，结果令电脑沦陷。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。