背景介紹

磁碟機(jī)病毒并不是一個(gè)新病毒,早在2007年2月的時(shí)候,就已經(jīng)初現(xiàn)端倪。當(dāng)時(shí)它僅僅作為一種蠕蟲病毒,成為所有反病毒工作者的關(guān)注目標(biāo)。而當(dāng)時(shí)這種病毒的行為,也僅僅局限于,在系統(tǒng)目錄%system%system32com生成lsass.exe和smss.exe,感染用戶電腦上的exe文件。病毒在此時(shí)的傳播量和處理的技術(shù)難度都不大。

然而在病毒作者經(jīng)過長達(dá)一年的辛勤工作——數(shù)據(jù)表明,病毒作者幾乎每兩天就會(huì)更新一次病毒——之后,并吸取了其他病毒的特點(diǎn)(例如臭名昭著的AV終結(jié)者,攻擊破壞安全軟件和檢測工具),結(jié)合了目前病毒流行的傳播手段,逐漸發(fā)展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。

簡介

磁碟機(jī)病毒

磁碟機(jī)病毒主要通過U盤和局域網(wǎng)ARP攻擊傳播,如果當(dāng)你無法訪問各個(gè)安全軟件站點(diǎn),或者從安全 站點(diǎn)的官網(wǎng)上下載的安裝程序有問題的話,極有可能是已經(jīng)中了磁碟機(jī)病毒“磁碟機(jī)”(又名“千足蟲”),病毒感染系統(tǒng)可執(zhí)行文件,能夠利用多種手段終止殺毒軟件運(yùn)行,并可導(dǎo)致被感染計(jì)算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏、死機(jī)等現(xiàn)象,嚴(yán)重危害被感染計(jì)算機(jī)的系統(tǒng)和數(shù)據(jù)安全。與其它關(guān)閉殺毒軟件的病毒不同的是,該病毒利用了多達(dá)六種強(qiáng)制關(guān)閉殺毒軟件和干擾用戶查殺的反攻手段,許多自身保護(hù)能力不夠強(qiáng)壯的殺毒軟件在病毒面前紛紛被折。

病毒在每個(gè)磁盤下生成pagefile.exe和Autorun.inf文件,并每隔幾秒檢測文件是否存在,修改注冊表鍵值,破壞“顯示系統(tǒng)文件”功能。

每隔一段時(shí)間會(huì)檢測自己破壞過的顯示文件、安全模式、Ifeo、病毒文件等項(xiàng),如被修改則重新破壞。病毒執(zhí)行后,會(huì)刪除病毒主體文件。

病毒會(huì)監(jiān)控lsass.exe、smss.exe、dnsq.dll文件,如果假設(shè)不存在的話則重新生成。當(dāng)拷貝失敗后,病毒會(huì)調(diào)用rd /s /q命令刪除原來的文件,再重新寫入。病毒會(huì)連接惡意網(wǎng)址下載大量木馬病毒。

該病毒運(yùn)行后會(huì)在系統(tǒng)目錄中COM目錄(默認(rèn)為c:\windows\system32\com)下生成名為lsass.exe及smss.exe文件。該病毒會(huì)感染除windows及program files目錄下所有的EXE格式可執(zhí)行文件,會(huì)造成用戶計(jì)算機(jī)運(yùn)算速度緩慢,甚至造成系統(tǒng)藍(lán)屏、死機(jī)。由于該病毒編寫存在一些問題,可能會(huì)造成用戶安裝的軟件被損壞,無法使用。

特征

磁碟機(jī)病毒

磁碟機(jī)病毒是一個(gè)下載者病毒,會(huì)關(guān)閉一些安全工具和殺毒軟件并阻止其運(yùn)行運(yùn)行,并會(huì)不斷檢測窗 口來關(guān)閉一些殺毒軟件及安全輔助工具,破壞安全模式,刪除一些殺毒軟件和實(shí)時(shí)監(jiān)控的服務(wù),遠(yuǎn)程注入到其它進(jìn)程來啟動(dòng)被結(jié)束進(jìn)程的病毒。傳播性

磁碟機(jī)病毒

1)在網(wǎng)站上掛馬,在用戶訪問一些不安全的網(wǎng)站時(shí),就會(huì)被植入病毒。這也是早期磁碟機(jī)最主要的傳播方 式

2)通過U盤等移動(dòng)存儲(chǔ)的Autorun傳播,染毒的機(jī)器會(huì)在每個(gè)分區(qū)(包括可移動(dòng)存儲(chǔ)設(shè)備)根目錄下釋放autorun.inf和pagefile.pif兩個(gè)文件。達(dá)到自動(dòng)運(yùn)行的目的。

3)局域網(wǎng)內(nèi)的ARP傳播方式,磁碟機(jī)病毒會(huì)下載其他的ARP病毒,并利用ARP病毒傳播的隱蔽性,在局域網(wǎng)內(nèi)傳播。值得注意的是:病毒之間相互利用,狼狽為奸已經(jīng)成為現(xiàn)在流行病的一個(gè)主要趨勢,利用其它病毒的特點(diǎn)彌補(bǔ)自身的不足。

隱蔽性

磁碟機(jī)病毒

1)傳播的隱蔽性:從上面的描述可以看出,病毒在傳播過程中,所利用的技術(shù)手段都是用戶,甚至是殺毒 軟件無法截獲的。

2)啟動(dòng)的隱蔽性:病毒不會(huì)主動(dòng)添加啟動(dòng)項(xiàng)(這是為了逃避系統(tǒng)診斷工具的檢測,也是其針對性的體現(xiàn)),而是通過重啟重命名方式把C:下的XXXX.log文件(XXXX是一些不固定的數(shù)字),改名到“啟動(dòng)”文件夾。重啟重命名優(yōu)先于自啟動(dòng),啟動(dòng)完成之后又將自己刪除或改名回去。已達(dá)到逃避安全工具檢測的目的,使得當(dāng)前大多數(shù)殺毒軟件無法有效避免病毒隨機(jī)啟動(dòng)。

針對性

1)關(guān)閉安全軟件,病毒設(shè)置全局鉤子,根據(jù)關(guān)鍵字關(guān)閉殺毒軟件和診斷工具

另外,病毒還能枚舉當(dāng)前進(jìn)程名,根據(jù)關(guān)鍵字Rav、avp、kv、kissvc、scan…來結(jié)束進(jìn)程。

2)破壞文件的顯示方式,病毒修改注冊表,使得文件夾選項(xiàng)的隱藏屬性被修改,使得隱藏文件無法顯示,逃避被用戶手動(dòng)刪除的可能

3)破壞安全模式,病毒會(huì)刪除注冊表中和安全模式相關(guān)的值,使得安全模式被破壞,無法進(jìn)入;為了避免安全模式被其他工具修復(fù),病毒還會(huì)反復(fù)改寫注冊表。

4)破壞殺毒軟件的自保護(hù),病毒會(huì)在C盤釋放一個(gè)NetApi00.sys的驅(qū)動(dòng)文件,并通過服務(wù)加載,使得很多殺毒軟件的監(jiān)控和主動(dòng)防御失效,目的達(dá)到后,病毒會(huì)將驅(qū)動(dòng)刪除,消除痕跡。

磁碟機(jī)病毒

5)破壞安全策略,病毒刪除注冊表HKLMSoftWaePliciesMicrosoftWindowsSafer鍵和子鍵。并會(huì)反復(fù)改 寫。

6)自動(dòng)運(yùn)行,病毒在每個(gè)硬盤分區(qū)根目錄下生成的autorun.inf和pagefile.pif,是以獨(dú)占式打開的,無法直接刪除。

7)阻止其他安全軟件隨機(jī)啟動(dòng),病毒刪除注冊表整個(gè)RUN項(xiàng)和子鍵。

8)阻止使用映像劫持方法禁止病毒運(yùn)行,病毒刪除注冊表整個(gè)Image File Execution Options項(xiàng)和子鍵。

9)病毒自保護(hù),病毒釋放以下文件:

%Systemroot%system32Comsmss.exe

%Systemroot%system32Comnetcfg.000

%Systemroot%system32Comnetcfg.dll

%Systemroot%system32Comlsass.exe

隨后smss.exe和lsass.exe會(huì)運(yùn)行起來,由于和系統(tǒng)進(jìn)程名相同(路徑不同),任務(wù)管理器無法將它們直接結(jié)束。病毒在檢測到這兩個(gè)進(jìn)程被關(guān)閉后,會(huì)立即再次啟動(dòng);如果啟動(dòng)被阻止,病毒就會(huì)立即重啟系統(tǒng)。

10)對抗分析檢測,病毒不會(huì)立即對系統(tǒng)進(jìn)行破壞。而會(huì)在系統(tǒng)中潛伏一段時(shí)間之后,再開始活動(dòng)。這樣的行為使得無法通過Installwatch等系統(tǒng)快照工具跟蹤到病毒的行為。

危害

(1)修改系統(tǒng)默認(rèn)加載的DLL 列表項(xiàng)來實(shí)現(xiàn)DLL 注入。通過遠(yuǎn)程進(jìn)程注入,并根據(jù)以下關(guān)鍵字關(guān)閉殺毒軟件和病毒診斷等工具。

(2)修改注冊表破壞文件夾選項(xiàng)的隱藏屬性修改,使隱藏的文件無法被顯示。

(3)自動(dòng)下載最新版本和其它的一些病毒木馬到本地運(yùn)行。

(4)不斷刪除注冊表的關(guān)鍵鍵值來來破壞安全模式和殺毒軟件和主動(dòng)防御的服務(wù), 使很多主動(dòng)防御軟件和實(shí)時(shí)監(jiān)控?zé)o法再被開啟。

(5)病毒并不主動(dòng)添加啟動(dòng)項(xiàng),而是通過重啟重命名方式。這種方式自啟動(dòng)極為隱蔽,現(xiàn)有的安全工具很難檢測出來。

(6)病毒會(huì)感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件,并且會(huì)感染壓縮包內(nèi)的文件。

主要癥狀

1、系統(tǒng)運(yùn)行緩慢、頻繁出現(xiàn)死機(jī)、藍(lán)屏、報(bào)錯(cuò)等現(xiàn)象;

2、進(jìn)程中出現(xiàn)兩個(gè)lsass.exe和兩個(gè)smss.exe ,且病毒進(jìn)程的用戶名是當(dāng)前登陸用戶名;(如果只有1個(gè)lsass.exe和1個(gè)smss.exe,且對應(yīng)用戶名為system,則是系統(tǒng)正常文件,請不用擔(dān)心)

3、殺毒軟件被破壞,多種安全軟件無法打開,安全站點(diǎn)無法訪問;

4、系統(tǒng)時(shí)間被篡改,無法進(jìn)入安全模式,隱藏文件無法顯示;

5、病毒感染.exe文件導(dǎo)致其圖標(biāo)發(fā)生變化;

6、會(huì)對局域網(wǎng)發(fā)起ARP攻擊,并篡改下載鏈接為病毒鏈接;

7、彈出釣魚網(wǎng)站

傳播渠道

1、U盤/移動(dòng)硬盤/數(shù)碼存儲(chǔ)卡

2、局域網(wǎng)ARP攻擊

3、感染文件

4、惡意網(wǎng)站下載

5、其它木馬下載器下載

解決方案

磁碟機(jī)病毒和AV終結(jié)者、機(jī)器狗的表現(xiàn)很類似,技術(shù)上講磁碟機(jī)的抗殺能力更強(qiáng)。多種殺毒軟件無法攔截磁碟機(jī)的最新變種,在中毒之后,安裝殺毒軟件失敗的可能性很大。在某些沒有任何防御措施的電腦上,可能磁碟機(jī)專殺工具一運(yùn)行就會(huì)被刪除。據(jù)調(diào)查,這種情況是多種病毒混合入侵導(dǎo)致。在這種極端情況下,我們可以嘗試的殺毒方案有:

1.嘗試啟動(dòng)系統(tǒng)到安全模式或帶命令行的安全模式。

具體辦法:重啟前,從其它正常電腦COPY已經(jīng)升級到最新的殺毒軟件,簡單地把整個(gè)安裝目錄COPY過來。安全模式下運(yùn)行kav32.exe,或者在命令行下運(yùn)行kavdx。如果這個(gè)病毒不是很BT的話,有希望搞定。

2.WINPE急救光盤引導(dǎo)后殺毒。

WINPE啟動(dòng)后,運(yùn)行kav32.exe或kavdx

3.掛從盤殺毒。

必須注意,在掛從盤殺毒前,正常的電腦務(wù)必使用金山清理專家的U盤免疫功能,將所有磁盤的自動(dòng)運(yùn)行功能關(guān)閉,避免使用雙擊的方式訪問帶毒硬盤,禁用自動(dòng)運(yùn)行能大大減少中毒的風(fēng)險(xiǎn)

4.重裝系統(tǒng)。

裝完切記,不要用雙擊打開其它磁盤或插入可能有毒的U盤,先上網(wǎng)下載金山毒霸,升級到最新,使用清理專家的U盤免疫器,禁用所有磁盤的自動(dòng)運(yùn)行。

防御措施

一:及時(shí)更新殺毒軟件,以攔截最新變種。

不能升級的殺毒軟件和不裝是一樣的,在豬肉漲軟件跌的情況下,支持正版軟件還是值得的。和“磁碟機(jī)”類似的幾個(gè)病毒都會(huì)找殺毒軟件下手,注意觀察殺毒軟件的工作狀態(tài),可以充當(dāng)“磁碟機(jī)”之類病毒破壞系統(tǒng)的晴雨表。

二:及時(shí)修補(bǔ)操作系統(tǒng)漏洞、瀏覽器漏洞和應(yīng)用軟件漏洞。

windows update、清理專家都是打補(bǔ)丁好手。播放器、下載工具,最好用官方的最新版,至少老漏洞都修補(bǔ)過。

三:網(wǎng)絡(luò)防火墻、ARP防火墻一個(gè)也不能少。

網(wǎng)絡(luò)防火墻和ARP防火墻對“磁碟機(jī)”在局域網(wǎng)的泛濫可以起到遏制作用。

四:保持足夠警惕,小心接收和打開不明程序,不要被文件的圖標(biāo)所蒙蔽。

控制面板中“文件夾選項(xiàng)”的修改文件夾選項(xiàng),顯示所有文件的擴(kuò)展名,發(fā)現(xiàn)EXE/PIF/COM/SCR等類型一定要倍加小心。甭管對方如何解釋這個(gè)東東是什么,自己先看清楚,確認(rèn)是文檔才能認(rèn)為是相對安全的。

如果你的資源管理器工具菜單下文件夾選項(xiàng)不見了,或者打開后,修改選項(xiàng)失效,通常也是中毒的標(biāo)志。

五:常備一套工具箱。

清理專家、procexp、autoruns、冰刃、Sreng,AV終結(jié)者專殺,磁碟機(jī)專殺。需要時(shí),這些小工具可令系統(tǒng)起死回生。

六:強(qiáng)烈建議禁用自動(dòng)運(yùn)行功能,這個(gè)雞肋功能對病毒傳播制造了太多機(jī)會(huì),自動(dòng)運(yùn)行提供的方便性幾乎沒有價(jià)值。

禁止自動(dòng)運(yùn)行的方法,超簡單,在清理專家的百寶箱,打開U盤免疫器,全部選中所有驅(qū)動(dòng)器之后,點(diǎn)禁用。

七:及時(shí)反應(yīng),減輕損失。

一旦感染該病毒,應(yīng)該及時(shí)停止登錄在線游戲,請求游戲運(yùn)營商先將帳號凍結(jié),避免遭受損失。就好比你的銀行卡丟掉,你的第一反應(yīng)是給銀行打電話,請求凍結(jié)帳號。

判斷感染

1. 某些常用安全軟件打不開,打開后立即被關(guān)閉,或者打開后有被“分尸”的現(xiàn)象,這是由于病毒不斷 向這些軟件發(fā)送垃圾消息導(dǎo)致他們不能響應(yīng)正常的用戶指令導(dǎo)致。

2.安全模式被破壞。用戶試圖進(jìn)入安全模式時(shí),顯示的是藍(lán)屏,這是由于病毒刪除了與安全模式相關(guān)的注冊表鍵導(dǎo)致。

3.無法正常顯示隱藏文件,且工具-文件夾選項(xiàng)下的“隱藏受保護(hù)的操作系統(tǒng)文件”一項(xiàng)被破壞。

4.打開任務(wù)管理器,會(huì)發(fā)現(xiàn)兩個(gè)lsass.exe和smss.exe進(jìn)程

磁碟機(jī)病毒

5.使用Winrar瀏覽windows32Com目錄下可以發(fā)現(xiàn)如下病毒文件

%systemroot%system32comlsass.exe

%systemroot%system32comsmss.exe

%systemroot%system32comnetcfg.dll

%systemroot%system32comnetcfg.000

6、各盤根目錄下有pagefile.pif和autorun.inf文件

磁碟機(jī)病毒

7、系統(tǒng)目錄下存在dnsq.dll文件

評論

江民反病毒工程師經(jīng)提取病毒樣本分析后認(rèn)為,多數(shù)企業(yè)都是因?yàn)樵馐芰送徊《尽扒ё阆x”(又名磁碟機(jī))病毒侵害。統(tǒng)計(jì)顯示,目前“磁碟機(jī)”病毒及其變種已感染超過5萬臺(tái)電腦,被感染的電腦分布在政府、企事業(yè)等。

反毒專家何公道認(rèn)為,“磁碟機(jī)”病毒是近幾年以來發(fā)現(xiàn)的病毒技術(shù)含量最高、破壞性最強(qiáng)的病毒,其破壞能力、自我保護(hù)和反殺毒軟件能力均10倍于“熊貓燒香”,所以建議引起反病毒同行以及各大企事業(yè)單位網(wǎng)管員的高度重視。

總結(jié):

其實(shí),磁碟機(jī)現(xiàn)在并沒有什么可怕的。假如使用受限制用戶運(yùn)行的話,磁碟機(jī)對您的破壞相當(dāng)?shù)挠邢蕖?/p>

病毒對比

一、傳播途徑

“熊貓燒香”病毒有多種傳播方式。通過U盤和感染網(wǎng)頁文件掛馬傳播,通過局域網(wǎng)傳播,通過攻破一些大型網(wǎng)站,采用在正常網(wǎng)頁上掛馬的方式傳播。 “磁碟機(jī)”病毒利用“ARP病毒”在局域網(wǎng)中進(jìn)行自我傳播,病毒通過訪問一個(gè)惡意網(wǎng)址,下載并自動(dòng)運(yùn)行二十多個(gè)病毒,通過其中的ARP病毒,“磁碟機(jī)”可以瞬間傳遍整個(gè)網(wǎng)絡(luò)內(nèi)電腦?!按诺鷻C(jī)”也可以通過U盤和網(wǎng)頁掛馬傳播,但尚沒有發(fā)現(xiàn)病毒作者通過攻破大型網(wǎng)站的方式掛馬傳播的案例,這也是“磁碟機(jī)”在傳播范圍上尚不及“熊貓燒香”的原因,但如果一旦病毒作者通過這種方式大面積傳播,后果將不堪設(shè)想。

二、反攻殺毒軟件能力

“熊貓燒香”和“磁碟機(jī)”病毒都有反攻殺毒軟件的能力,但不同的是,“熊貓燒香”只是通過發(fā)送關(guān)閉消息的方式關(guān)閉殺毒軟件,而“磁碟機(jī)”則通過生成一個(gè)內(nèi)核權(quán)限的驅(qū)動(dòng)程序來破壞殺毒軟件的監(jiān)控,使殺毒軟件的監(jiān)控功能失效,然后再關(guān)閉殺毒軟件并阻止殺毒軟件升級,并屏蔽主流的殺毒軟件網(wǎng)頁。這一點(diǎn)上,“磁碟機(jī)”遠(yuǎn)遠(yuǎn)超過了“熊貓燒香”病毒,導(dǎo)致一些主動(dòng)防御功能不強(qiáng)的殺毒軟件紛紛被關(guān)閉,“磁碟機(jī)”能夠關(guān)閉除江民殺毒軟件KV2008最新版本之外的大部分主流殺毒軟件,這也是為什么眾多企業(yè)在遇到“磁碟機(jī)”病毒時(shí),整個(gè)局域網(wǎng)內(nèi)幾乎無一臺(tái)電腦幸免病毒之災(zāi)的原因。

三、自我保護(hù)和隱藏能力

“熊貓燒香”采用的是進(jìn)程保護(hù),病毒首先生成一個(gè)系統(tǒng)服務(wù)程序來保護(hù)其進(jìn)程不被關(guān)閉,只要清除了病毒生成的系統(tǒng)服務(wù),就可以輕松關(guān)閉其進(jìn)程。而“磁碟機(jī)”在自我保護(hù)和隱藏技術(shù)上幾乎無所不用其極,通過十余種技術(shù)來達(dá)到自我保護(hù)的目的。例如:利用進(jìn)程守護(hù)技術(shù),發(fā)現(xiàn)病毒文件被刪除或被關(guān)閉,會(huì)馬上生成重新運(yùn)行。病毒程序以系統(tǒng)級權(quán)限運(yùn)行,DLL組件會(huì)插入到系統(tǒng)中幾乎所有的進(jìn)程中加載運(yùn)行(包括系統(tǒng)級權(quán)限的進(jìn)程)。利用了關(guān)機(jī)回寫技術(shù),在關(guān)閉計(jì)算機(jī)時(shí)把病毒主程序體保存到[啟動(dòng)]文件夾中,實(shí)現(xiàn)開機(jī)自啟動(dòng)。系統(tǒng)啟動(dòng)后再將[啟動(dòng)]文件夾中病毒主體刪除掉,實(shí)現(xiàn)既可隱蔽啟動(dòng),又不被用戶發(fā)現(xiàn)的目的。使用反HIPS技術(shù)繞過部分主動(dòng)防御程序“HIPS”的監(jiān)控。利用光纖接入的服務(wù)器高速升級病毒體,迅速更新避免殺毒軟件查殺。

四、病毒變種和自我更新速度

“熊貓燒香”由于技術(shù)上較“磁碟機(jī)”簡單,加上源代碼可能外泄,因此病毒變種較多,而”磁碟機(jī)”由于病毒程序復(fù)雜,加上目前可以確定其源代碼尚未泄露到互聯(lián)網(wǎng)上,因此一周只出現(xiàn)兩到三個(gè)變種,最多的時(shí)候達(dá)到了一天出現(xiàn)兩個(gè)變種的速度,雖然相較于“熊貓燒香”在變種數(shù)量上稍遜一籌,但“磁碟機(jī)”的在線升級更新速度之快令人咋舌。江民反病毒專家懷疑“磁碟機(jī)”病毒使用了光纖接入的升級服務(wù)器,能夠?qū)崿F(xiàn)在下載量很大的情況下,病毒體也可以瞬間自動(dòng)完成更新。

五、病毒的破壞性

在破壞性上,“熊貓燒香”和“磁碟機(jī)”都能夠感染電腦內(nèi)的可執(zhí)行文件和網(wǎng)頁文件,導(dǎo)致系統(tǒng)運(yùn)行緩慢,不同的是,“磁碟機(jī)”在感染文件過程中對感染文件進(jìn)行了加密存放,使得清除病毒難度更大。兩者都可以鏈接到惡意網(wǎng)頁下載木馬病毒,但在下載的木馬病毒數(shù)量上,“磁碟機(jī)”遠(yuǎn)超過“熊貓燒香”,“磁碟機(jī)”能夠下載二十余種木馬病毒,“熊貓燒香”只能下載一個(gè)或幾個(gè)木馬。而“磁碟機(jī)”借助ARP病毒給企業(yè)局域網(wǎng)用戶帶來了巨大的災(zāi)難性事故,由于“磁碟機(jī)”可以借助ARP方式瞬間感染所有局域網(wǎng)內(nèi)電腦,因此許多單位的工作因此中斷,造成了不可估量的損失。

六、病毒的表現(xiàn)形式

在表現(xiàn)形式上,“熊貓燒香”的表現(xiàn)十分明顯,感染可執(zhí)行文件生成“熊貓燒香”的圖案,十分易于判斷。而“磁碟機(jī)”的感染則十分低調(diào)隱蔽。他千方百計(jì)隱藏自身的行蹤,普通用戶從表面看很難發(fā)現(xiàn)有中毒的痕跡,很多用戶中毒后尚不自知,除了感覺系統(tǒng)似乎變慢外無其它明顯異常癥狀。而“磁碟機(jī)”病毒也正是在這種刻意低調(diào)的偽裝下,伺機(jī)竊取用戶的隱私敏感信息,包括游戲帳號和網(wǎng)上銀行、網(wǎng)上證券交易等帳號密碼,這比“熊貓燒香”明目張膽的打劫更可怕。