金山毒霸隐蜂挖矿病毒专杀工具

 金山毒霸（KingsoftAntivirus）是中国的反病毒软件，从1999年发布最初版本至2010年时由金山软件开发及发行，之后在2010年11月金山软件旗下安全部门与可牛合并后由合并的新公司金山网络全权管理。  

金山毒霸隐蜂挖矿病毒专杀工具是金山毒霸推出的一款专杀挖矿木马病毒的软件。金山毒霸首家支持对“隐蜂”Bootkit挖矿木马的查杀防御，并在详细分析病毒行为后，第一时间推出了“隐蜂”Bootkit挖矿病毒专杀工具，以控制该病毒再次传播。  

“隐蜂”Bootkit木马的技术特点  

从样本模块的字符串信息中，金山毒霸安全研究院发现该Bootkit的内部项目代号为“Mellifera(蜜蜂)”，所以本次的Bootkit木马被命名为“隐蜂”。概括来说，“隐蜂”Bootkit木马的技术特点主要体现在:  

1、对抗分析检测，隐蔽性很强。一旦发现ARK工具、抓包软件或者安全软件，甚至是任务管理器，病毒都会立即结束挖矿活动，小心翼翼地躲藏起来  

2、架构设计灵活，复杂度专业度很高。最直观的感受，我们从“隐蜂”病毒中解压出来的各类内核模块、R3插件以及配置文件多达50+,病毒代码结构的复杂程度可见一斑。  

3、系统兼容稳定性很好。“隐蜂”在系统引导过程中的挂钩时机选择、挂钩点特征搜寻和代码细节处理上都非常完善，支持主流windows操作系统版本，同时兼容X86/X64架构。“隐蜂”Boot劫持代码中也可以看到一些Bootkit前辈的身影，堪称后辈中的集大成者。  

从金山毒霸安全实验室监控到的数据来看：本次的“隐蜂”Bootkit木马变种从3月初开始测试传播，得益于其强悍的隐蔽性和对抗分析能力，到至今的三个多月都不曾被外界发现曝光。病毒的项目版本号也从0.1迭代至目前的1.x，在经历了几轮网页挂马和流氓捆绑的传播小高峰后，该僵尸网络已经逐渐成形，预估目前全网的感染用户50w+。