金山毒霸2008官方介紹的技術(shù)資料看上去很美，實(shí)際面對(duì)病毒時(shí)，又怎么樣呢？打算搞個(gè)病毒體驗(yàn)一把。病毒樣本是在某論壇得到的小瓢蟲，這個(gè)病毒差不多同時(shí)具備熊貓燒香和AV終結(jié)者病毒的特性，所有感染后的EXE會(huì)變成綠色瓢蟲圖標(biāo)，病毒會(huì)修改很多系統(tǒng)配置，采用映像劫持或其它方式強(qiáng)行關(guān)閉殺毒軟件。

測(cè)試環(huán)境：
winxp sp2，金山毒霸2008官方下載版（病毒庫(kù)12.5）


測(cè)試步驟：
1.先看一眼這個(gè)瓢蟲

2.試一下金山毒霸2008能否被瓢蟲病毒干掉，特意關(guān)閉了金山毒霸的升級(jí)功能，測(cè)試的結(jié)果是金山毒霸、網(wǎng)鏢、清理專家全部安然無(wú)恙。中毒后，重啟系統(tǒng)，金山毒霸仍然運(yùn)行正常，病毒劫持毒霸的目的未達(dá)到。

3.中毒后的現(xiàn)象，初學(xué)者可能只有格式化重裝一條路。
a)控制面板不見了

有時(shí)，病毒的BUG無(wú)法完全隱藏控制面板，打開控制面板的項(xiàng)目時(shí)，報(bào)如下錯(cuò)誤：

b)任務(wù)管理器、注冊(cè)表編輯器被鎖


運(yùn)行regedit時(shí)，提示：

c) 所有磁盤被完全共享，這個(gè)是病毒使用net share命令實(shí)現(xiàn)的，病毒會(huì)嘗試共享所有驅(qū)動(dòng)器。

d)瓢蟲還在每個(gè)磁盤根目錄創(chuàng)建了三個(gè)快捷方式，三個(gè)快捷方式都指向病毒程序自身。
e)病毒會(huì)感染除系統(tǒng)盤外的EXE程序，不過(guò)病毒的感染并不成功，是用覆蓋方式實(shí)現(xiàn)的，被感染的EXE，一眼就被看出來(lái)，程序原有的功能丟失。和熊貓燒香一樣，感染的EXE全是瓢蟲圖標(biāo)。
f)病毒還有更多修改，具體看該病毒的詳細(xì)分析：
http://bbs.duba.net/thread-21863367-1-1.html

4.看我用金山毒霸08和清理專家來(lái)解決
a)第一步，先嘗試升級(jí)毒霸，注意看下上面開始測(cè)試時(shí)，病毒庫(kù)的版本是12.5，升級(jí)到最新后，立即全盤殺毒。同時(shí)，可以進(jìn)行下一步了。
b)使用清理專家的系統(tǒng)修復(fù)，查啟動(dòng)項(xiàng)，隱藏已知的安全項(xiàng)之后的結(jié)果：

c)再看全面檢測(cè)，這里省略了很多映像劫持的項(xiàng)目，以使截圖清晰，在隱藏了已知的安全項(xiàng)后，可以發(fā)現(xiàn)病毒修改了文件關(guān)聯(lián)，添加了一個(gè)驅(qū)動(dòng)程序。

d)現(xiàn)在毒霸08全面查毒已經(jīng)有結(jié)果報(bào)告，首先發(fā)現(xiàn)了幾個(gè)惡意軟件，明顯，小瓢蟲運(yùn)行后，下載安裝了更多惡意軟件，其中部分特征和AV終結(jié)者幾乎一樣，被判斷發(fā)現(xiàn)AV終結(jié)者。

最新評(píng)論