方正熊猫新技术阻止索尼XCP可能引发病毒

　　以前的担心成为了事实，恶意代码开始利用索尼受争议的反盗版系统，隐藏在其中进入计算机。在最近数小时内，方正熊猫的病毒实验室发现了两个利用此漏洞的木马：Ryknos.A 和Ryknos.B。

　　- 很有可能在随后的数天，利用此安全漏洞的新型恶意代码会问世。因此，获得对该漏洞的保护是非常重要的。

　　- 与已经发现的Ryknos木马一样，TruPreventTM 技术可以阻止任何利用这个反盗版系统传播的未知病毒。

　　马德里，2005年11月11日

　　索尼公司集成在许多音乐CD上的受争议的反盗版系统，已经开始被恶意代码利用进行网络攻击。方正熊猫的病毒实验室已经检测到两个新型木马Ryknos.A和Ryknos.B ，它们利用这个系统传播以保证自身不被杀毒软件检测到。TruPreventTM技术——更具体地说，基因式启发式扫描引擎——已经预先阻止了这些木马发作，因此用户在该病毒出现之始就处于TruPreventTM技术的保护之下。除此之外，TruPreventTM 技术 还可以阻止任何利用这个反盗版系统传播的新病毒。

　　“当一个新的安全漏洞被发现，很快就会有病毒开发者利用新漏洞开发新病毒”，方正熊猫病毒实验室的主管，Luis Corrons说，“这个反盗版系统在很短的时间内就被病毒利用的例子，预示了会出现更多通过普通音乐CD传播的病毒。因此，必须有一种技术，例如TruPreventTM 技术，可以通过行为分析而非预先识别阻止病毒发作。这就避免了网络安全公司研究解决措施期间的病毒传播风险。”

　　当一张受保护的音乐CD运行，索尼的反盗版系统就会安装在计算机上，将所有以“$SYS$”开头的文件隐藏。这样做可以在不被用户察觉的情况下，控制这张CD的拷贝数量，而对于Ryknos木马则是一个难得的可以利用的漏洞。当用户运行了包含有恶意代码的文件，病毒会将自身复制到电脑上，文件名可能是$SYS$drv.exe（Ryknos.A）或者$SYS$xp.exe（Ryknos.B），这使得病毒难以定位和清除。

　　这两个木马安装进计算机后，会连接特定IP地址的8080端口，允许远程攻击者获取及运行命令。这些命令可能包括下载并执行文件、以及删除特定文件等。