金山毒霸2008官方介紹的技術(shù)資料看上去很美，實(shí)際面對病毒時(shí)，又怎么樣呢？打算搞個病毒體驗(yàn)一把。病毒樣本是在某論壇得到的小瓢蟲，這個病毒差不多同時(shí)具備熊貓燒香和AV終結(jié)者病毒的特性，所有感染后的EXE會變成綠色瓢蟲圖標(biāo)，病毒會修改很多系統(tǒng)配置，采用映像劫持或其它方式強(qiáng)行關(guān)閉殺毒軟件。

測試環(huán)境：
winxp sp2，金山毒霸2008官方下載版（病毒庫12.5）


測試步驟：
1.先看一眼這個瓢蟲

2.試一下金山毒霸2008能否被瓢蟲病毒干掉，特意關(guān)閉了金山毒霸的升級功能，測試的結(jié)果是金山毒霸、網(wǎng)鏢、清理專家全部安然無恙。中毒后，重啟系統(tǒng)，金山毒霸仍然運(yùn)行正常，病毒劫持毒霸的目的未達(dá)到。

3.中毒后的現(xiàn)象，初學(xué)者可能只有格式化重裝一條路。
a)控制面板不見了

有時(shí)，病毒的BUG無法完全隱藏控制面板，打開控制面板的項(xiàng)目時(shí)，報(bào)如下錯誤：

b)任務(wù)管理器、注冊表編輯器被鎖


運(yùn)行regedit時(shí)，提示：

c) 所有磁盤被完全共享，這個是病毒使用net share命令實(shí)現(xiàn)的，病毒會嘗試共享所有驅(qū)動器。

d)瓢蟲還在每個磁盤根目錄創(chuàng)建了三個快捷方式，三個快捷方式都指向病毒程序自身。
e)病毒會感染除系統(tǒng)盤外的EXE程序，不過病毒的感染并不成功，是用覆蓋方式實(shí)現(xiàn)的，被感染的EXE，一眼就被看出來，程序原有的功能丟失。和熊貓燒香一樣，感染的EXE全是瓢蟲圖標(biāo)。
f)病毒還有更多修改，具體看該病毒的詳細(xì)分析：
http://bbs.duba.net/thread-21863367-1-1.html

4.看我用金山毒霸08和清理專家來解決
a)第一步，先嘗試升級毒霸，注意看下上面開始測試時(shí)，病毒庫的版本是12.5，升級到最新后，立即全盤殺毒。同時(shí)，可以進(jìn)行下一步了。
b)使用清理專家的系統(tǒng)修復(fù)，查啟動項(xiàng)，隱藏已知的安全項(xiàng)之后的結(jié)果：

c)再看全面檢測，這里省略了很多映像劫持的項(xiàng)目，以使截圖清晰，在隱藏了已知的安全項(xiàng)后，可以發(fā)現(xiàn)病毒修改了文件關(guān)聯(lián)，添加了一個驅(qū)動程序。

d)現(xiàn)在毒霸08全面查毒已經(jīng)有結(jié)果報(bào)告，首先發(fā)現(xiàn)了幾個惡意軟件，明顯，小瓢蟲運(yùn)行后，下載安裝了更多惡意軟件，其中部分特征和AV終結(jié)者幾乎一樣，被判斷發(fā)現(xiàn)AV終結(jié)者。

最新評論