近日，Spyeye及其變種持續發威，其生成工具也在黑市上高價流通，儼然已成為了一條最新的黑色產業鏈之路。這種行為嚴重威脅用戶的計算機安全，AVG中國實驗室連續在國內截獲這一系列病毒，同時對其派生的變種和新版病毒進行準確查殺。

Spyeye之所以如此被AVG重視，源于它的工作機制和覆蓋面。由于Spyeye的特殊工作方式，用戶計算機在第一時間被感染病毒后，會成為Spyeye僵尸網絡的一員，此時，電腦完全處于僵尸網絡制造者的控制之下，發送垃圾郵件，發起網絡攻擊，竊取用戶的敏感數據，下載其他惡意程序等等。而這一切，用戶往往毫不知情。截止2月底AVG中國實驗室的數據顯示表明，曾經被Spyeye感染的用戶計算機已經達到了一個相當龐大的數字，這是現階段一個非常流行的病毒，具有非常大的危害性。AVG認為這是一項值得關注的事件，因此投入大量精力對該病毒進行機理分析和查殺。

病毒特征

極強的獨立性：Spyeye會通過hook特定的Wininet API 來阻止其他的肉雞和主機通訊，如果在Spyeye的生成過程中如果有勾選"Kill zeus"的選項，則Spyeye將刪除其它的肉雞程序，做到"清除異己，一統天下"。

更精明的隱蔽化處理：在和主機通訊的過程中，可能會造成大量的異常的流量，Spyeye為了避免被流量工具檢測，它會嚴格的監測自己的運行環境，一旦發現有流量監控工具，則停止其與主機的通訊。

Spyeye會監視系統中是否存在如下的進程（下文所列為部分使用率高的檢測工具）。

Microsoft Network Monitor 3.3

The Wireshark Network Analyzer

SmartSniff

CurrPorts

TCPViewClass

……………………

其次會檢測是否存在以下文件，與上一步的進程檢測相互輔助，確定用戶計算機上的流量檢測系統。

%Program Files%\WinPcap\rpcapd.exe（WinPcap驅動程序，部分監控工具基于此開發）

%Program Files%WireShark\rawshark.exe（WireShark監控程序）

%Program Files%Ethereal\ethereal.html（一款免費的網絡協議檢測程序）

%Program Files%Microsoft Network Monitor 3\netmon.exe（微軟的Microsoft Network Monitor 主程序）

該程序會判斷其第一塊硬盤是否為虛擬設備來檢測其是否運行于虛擬機中，根據注冊表的返回值，如果"是"則退出。

更"有趣"的運行機制 ：Spyeye為了避免在注入代碼時出現不可預知的錯誤而引起系統警告，而將其加入DEP (data execution prevention)的例外列表，因此我們可以通過以下注冊表我們可以找到該病毒的蹤跡。不得不說，這個想法實在是太有意思了，但顯而易見的是，用戶們并不喜歡它隱藏的這么深。

更精密的偽裝手段：為了逃避檢測以及獲取信任，Sypeye變種偽造了Avira的數字簽名，我們可以從數字簽名信息中看到，然而因為是偽造的，所以這份證書是不受信任的。

查殺情況

目前AVG包含Anti-Virus Free Edition 2011（中文免費版）在內的多個殺毒軟件版本已經可以成功的對該病毒進行查殺。AVG中國實驗室建議沒有安裝殺毒軟件的用戶可以在http://www.avg.com/cn-zh/china-homepage 下載AVG中文免費版進行計算機保護，以抵御Spyeye及其變種的攻擊。