近日，Spyeye及其變種持續(xù)發(fā)威，其生成工具也在黑市上高價流通，儼然已成為了一條最新的黑色產業(yè)鏈之路。這種行為嚴重威脅用戶的計算機安全，AVG中國實驗室連續(xù)在國內截獲這一系列病毒，同時對其派生的變種和新版病毒進行準確查殺。

Spyeye之所以如此被AVG重視，源于它的工作機制和覆蓋面。由于Spyeye的特殊工作方式，用戶計算機在第一時間被感染病毒后，會成為Spyeye僵尸網(wǎng)絡的一員，此時，電腦完全處于僵尸網(wǎng)絡制造者的控制之下，發(fā)送垃圾郵件，發(fā)起網(wǎng)絡攻擊，竊取用戶的敏感數(shù)據(jù)，下載其他惡意程序等等。而這一切，用戶往往毫不知情。截止2月底AVG中國實驗室的數(shù)據(jù)顯示表明，曾經(jīng)被Spyeye感染的用戶計算機已經(jīng)達到了一個相當龐大的數(shù)字，這是現(xiàn)階段一個非常流行的病毒，具有非常大的危害性。AVG認為這是一項值得關注的事件，因此投入大量精力對該病毒進行機理分析和查殺。

病毒特征

極強的獨立性：Spyeye會通過hook特定的Wininet API 來阻止其他的肉雞和主機通訊，如果在Spyeye的生成過程中如果有勾選"Kill zeus"的選項，則Spyeye將刪除其它的肉雞程序，做到"清除異己，一統(tǒng)天下"。

更精明的隱蔽化處理：在和主機通訊的過程中，可能會造成大量的異常的流量，Spyeye為了避免被流量工具檢測，它會嚴格的監(jiān)測自己的運行環(huán)境，一旦發(fā)現(xiàn)有流量監(jiān)控工具，則停止其與主機的通訊。

Spyeye會監(jiān)視系統(tǒng)中是否存在如下的進程（下文所列為部分使用率高的檢測工具）。

Microsoft Network Monitor 3.3

The Wireshark Network Analyzer

SmartSniff

CurrPorts

TCPViewClass

……………………

其次會檢測是否存在以下文件，與上一步的進程檢測相互輔助，確定用戶計算機上的流量檢測系統(tǒng)。

%Program Files%\WinPcap\rpcapd.exe（WinPcap驅動程序，部分監(jiān)控工具基于此開發(fā)）

%Program Files%WireShark\rawshark.exe（WireShark監(jiān)控程序）

%Program Files%Ethereal\ethereal.html（一款免費的網(wǎng)絡協(xié)議檢測程序）

%Program Files%Microsoft Network Monitor 3\netmon.exe（微軟的Microsoft Network Monitor 主程序）

該程序會判斷其第一塊硬盤是否為虛擬設備來檢測其是否運行于虛擬機中，根據(jù)注冊表的返回值，如果"是"則退出。

更"有趣"的運行機制 ：Spyeye為了避免在注入代碼時出現(xiàn)不可預知的錯誤而引起系統(tǒng)警告，而將其加入DEP (data execution prevention)的例外列表，因此我們可以通過以下注冊表我們可以找到該病毒的蹤跡。不得不說，這個想法實在是太有意思了，但顯而易見的是，用戶們并不喜歡它隱藏的這么深。

更精密的偽裝手段：為了逃避檢測以及獲取信任，Sypeye變種偽造了Avira的數(shù)字簽名，我們可以從數(shù)字簽名信息中看到，然而因為是偽造的，所以這份證書是不受信任的。

查殺情況

目前AVG包含Anti-Virus Free Edition 2011（中文免費版）在內的多個殺毒軟件版本已經(jīng)可以成功的對該病毒進行查殺。AVG中國實驗室建議沒有安裝殺毒軟件的用戶可以在http://www.avg.com/cn-zh/china-homepage 下載AVG中文免費版進行計算機保護，以抵御Spyeye及其變種的攻擊。