什么是未知病毒检测
KV2008的未知病毒查杀功能,这是我最喜欢的功能,给别人处理计算机问题时一般都会装上它去检查系统,解决疑难!在新的KV2008中这个功能变得更加强大了!在学校,有时同学找我去看看电脑问题,基本上是用这个工具去查。同学都开玩笑说这是一个“秘密武器”,其实在一个没有杀毒软件的“裸机”上或是杀毒软件已经被关闭的状态下想要快速解决问题就只能用它了。
我们以木马Trojandownloader.agent.sjw 为例,看看未知病毒查杀的强大功能!
在运行病毒程序后,并且在连接网络状态下,这时可以利用未知病毒查杀功能进行扫描。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115144522868.png[/img]
在扫描时,可以看到在c盘的系统文件夹下产生了RPMSVC.EXE程序,其样本类型为中度可疑,可疑概率达到了62%,状态为正在运行。
我们也可以使用江民进程查看器查看一下,
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115144523302.png[/img]
其中,可疑程序Rpmsvc.exe 的危险程度达到了97% ,
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115144523580.png[/img]
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115144523100.png[/img]
在网络连接上,可以看到可疑程序已经连接到80.93.214.43:4490
来看看未知病毒查杀如何来帮助我们解决问题。在扫描完成后,我们进行下一步的操作。在可疑程序上我们可以单击右键,直接对可疑文件结束进程、文件定位、删除文件等一系列的操作,在没有KV2008的主程序时可以用这些功能对可疑文件进行处理!
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008115144523855.png[/img]
KV2008中提供了可疑程序处理向导,使用可疑程序处理向导一步步地进行操作:
第一步是进行信任程序白名单的加入,可以把自己认为可信任的程序放到白名单中;
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811514462281.png[/img]
第二步是选择要结束的运行程序,在选择好可疑程序以后单击“下一步”
C盘系统文件夹下的那个可疑程序的状态已经是“终止”;我们再进行下一步的选择。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811514462314.png[/img]
第三步把可以文件加入到样本库中,最后是完成处理。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811514462598.png[/img]
我们再次使用未知病毒检测重新扫描,可以看到可疑文件的可疑概率下降到了40% 。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811514462492.png[/img]
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811514462431.png[/img]
可疑文件没有了。
可以看到,2008版KV中的未知病毒扫描功能在江民进程查看器的共同作用下已经达到了非常有效的程度。
以上是自己使用未知病毒功能的一些收获,KV2008中还有很多强大而实用的功能,相信KV2008在这些强大功能的共同组件作用下会更好地保护我们的计算机的!
北京网络行业协会、江民科技联合发布11月22日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo和Trojan/AntiAV.dj“系统杀手”变种dj值得关注。英文名称:TrojanSpy.OnLineGames.iyo
中文名称:“网游窃贼”变种iyo
病毒长度:12060字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.OnLineGames.iyo“网游窃贼”变种iyo是“网游窃贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“网游窃贼”变种iyo运行后,会在被感染计算机的系统目录下释放多个病毒文件,同时将其中的DLL病毒文件插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行,通过隐藏自身来防止被轻易地查杀。“网游窃贼”变种iyo是一个专门盗取“QQ华夏Online”、“地下城与勇士 Online”等网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。同时,“网游窃贼”变种iyo还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同密码保护资料一起被骇客盗取,进而蒙受更多的损失。“网游窃贼”变种iyo会利用域名映像劫持功能,阻止用户访问网络游戏的官方站点,从而延误了用户在丢失账号后立即取回密码的时机。“网游窃贼”变种iyo利用进程守护功能来实现自我保护。该病毒会通过替换系统文件来实现开机的自启动。如果安全软件直接删除了病毒文件的话,会导致被感染计算机出现复制(粘贴)功能失效等异常现象,严重地影响了用户对计算机系统的正常使用。另外,“网游窃贼”变种iyo的主程序执行完毕后会自我删除。
英文名称:Trojan/AntiAV.dj
中文名称:“系统杀手”变种dj
病毒长度:81408字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.dj“系统杀手”变种dj是“系统杀手”木马家族中的最新成员之一,采用Delphi语言编写,经过加壳保护处理。“系统杀手”变种dj运行后,会复制自身到系统“c:\tasks\”目录下并重新命名为“绿化.bat”和“csrss.exe”。同时,还会释放脚本文件“hackshen.vbs”和配置文件“SA.DAT”。禁用Windows 安全中心服务“Security Center”,使关闭安全软件后没有警告提示信息,从而达到自我保护的目的。后台调用系统进程“csrss.exe”,尝试结束某些安全软件的运行,给用户的计算机安全造成了一定的安全隐患。释放DLL病毒文件“wsock32.dll”到系统的所有目录下(其中,由于兼容性的问题,可能会导致某些系统软件启动后会报错、退出),利用DLL劫持原理,使某些带有连网功能的软件自动连接骇客指定站点“http://211.***.***.32/wm/”,下载恶意程序“mm.exe”并调用运行(其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成不同程度的安全威胁。
什么叫云安全和沙盒
继江民科技10月14日率先推出杀毒“沙盒”“云安全”防毒系统后,近日,瑞星、金山先后高调推出“云安全”概念,并正式推出以“云安全”为亮点的2009版本。至此,国内三大杀毒厂商都具有了“云安全”系统,并寄希望于这套系统能够有效应对目前迅猛增长的新病毒和互联网威胁。江民科技反病毒专家何公道介绍,江民早在2006年就推出了“云安全”防毒系统,借助于该套系统,江民每日处理可疑程序和病毒样本数万个,每日更新新病毒数千个。从2006年推出“云安全”防毒系统以来,江民反病毒中心累积分析处理各种疑似病毒样本超过千万个,病毒处理能力较2006年之前增强200倍,有效遏制了病毒的迅猛增长。
江民科技总裁陶新宇在接受记者采访时讲过, “其实以云方式构建的大规模特征库并不足以应对安全威胁的迅速增长,国内外杀毒厂商还需要在核心杀毒技术上下足功夫,例如虚拟机、启发式、沙盒、智能主动防御等未知病毒防范技术都需要加强和发展,多数杀毒软件本身的自我保护能力也需要加强。” 这种论点得到了何公道等多位国际资深计算机反病毒专家的认同,因为,病毒增长的再快,只是量的变化,而现实当中,造成巨大损失的,却往往是极少数应用了新病毒技术的恶性病毒,近年以来主要以“磁碟机”为代表的“恶意驱动病毒”。因此,反病毒厂商在注重反病毒“量”的同时,更应当重视反病毒的“质”的提高,对付一千万个普通病毒容易,但能够对付一百个恶意驱动病毒,就要看你的核心反病毒技术是否足够过硬了。
江民科技更加关注的是“云安全”与“核心技术”的有机融合。也就是说,“云安全”必然要建立在“内核级自我保护”“沙盒”“虚拟机”等核心技术的基础上才能显出威力,没有这些核心技术,杀毒软件在病毒面前就可能会出现“有心无力”的尴尬,现实中许多杀毒软件扫描发现了病毒,却无力清除,甚至反被病毒关闭的现象比比皆是。这也是为什么江民在推出KV2009时,首先强调的是“沙盒”“内核级自我保护”“智能主动防御”“虚拟机”等核心技术,而把“云安全”防毒系统排在后面的原因。杀毒和其它行业一样,首先是基础要足够强大,基础不扎实,楼建的再高也不牢靠。
谈到“沙盒”技术时,何公道认为,有厂商认为“沙盒”其实就是“虚拟机”,这其实是一种重大误解。“沙盒”是一种更深层的系统内核级技术,与“虚拟机”无论在技术原理还是在表现形式上都不尽相同,“沙盒”会接管病毒调用接口或函数的行为,并会在确认为病毒行为后实行回滚机制,让系统复原,而“虚拟机”并不具备回滚复原机制,在激发病毒后,虚拟机会根据病毒的行为特征判断为是某一类病毒,并调用引擎对该病毒进行清除,两者之间有着本质的区别。事实上,在对付新病毒入侵时,应用了“沙盒”的KV2009已经开始发挥了强大的效力。有用户在关闭江民KV2009杀毒软件各种实时监控,仅开启了“带沙盒技术的主动防御”模式,结果运行“扫荡波”新病毒后,病毒的所有行为被拦截并抹除,没有机会在系统中留下任何痕迹。
何公道说,目前网络安全面临的形势十分严峻,国家计算机病毒应急处理中心张健副主任曾讲过,目前反病毒面临的最主要问题是驱动型病毒对杀毒软件的技术挑战。因此,目前反病毒的首要任务是进一步提升反病毒核心技术,在确保反病毒技术的前提下,充分借助“云安全”防毒系统的快迅响应机制,打造“云安全”加“沙盒”的双重安全保障体系。
11月25日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanSpy.WOW.fr“魔兽杀手”变种fr和Rootkit.Agent.ap“代理”变种ap值得关注。英文名称:TrojanSpy.WOW.fr
中文名称:“魔兽杀手”变种fr
病毒长度:31300字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.fr“魔兽杀手”变种fr是“魔兽杀手”木马家族中的最新成员之一,采用Delphi语言编写,并且经过加壳保护处理。“魔兽杀手”变种fr运行后,会在被感染计算机系统的临时文件夹下释放一个DLL病毒文件,并将其插入到被感染计算机系统的“explorer.exe”进程中加载运行。在后台执行相应的恶意操作,隐藏自我,防止被查杀。“魔兽杀手”变种fr是一个专门盗取“魔兽世界Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“魔兽杀手”变种fr会修改系统注册表启动项,以实现开机后木马自动运行。
英文名称:Rootkit.Agent.ap
中文名称:“代理”变种ap
病毒长度:9056字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Rootkit.Agent.ap“代理”变种ap是“代理”木马家族中的最新成员之一,是一个采用内核级Rootkit技术来实现自我隐藏的恶意驱动程序,未经过加密保护处理。“代理”变种ap在用户计算机系统中注册、运行后,利用高级的Rootkit技术(内核级的钩子“SSDT HOOK”与“FSD HOOK”)隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息,防止被用户发现、被安全软件查杀,从而达到了更好的隐蔽效果。该恶意驱动程序属于某病毒整体中的一个功能模块,伴随该恶意驱动程序的出现,还会有其它恶意功能模块也一同被安装到了被感染计算机的系统中。一旦用户的计算机系统感染了该病毒,则很难将其清除干净。
保护计算机安全的几个方法
转自 江民官方网站在这个网络时代,不安全的因素无处不在。一旦网络或一台计算机被严重地击毁了,系统管理员需要采取行动来对付攻击。在下面的文章中,让我们来看一些常见的选择和假设,并且考虑在处理一个受到攻击的系统时,为什么这些未必是最好的行动。
1. 你不能通过为一个受到损害的系统打补丁来保持其健康;补丁只能清除漏洞。而一旦一个黑客进入了你的系统,你应当假定他或她已经保证有其它的方法可以使其重新进入。例如,建立一个账户等。
2. 你不能通过移除后门来净化你受到损害的系统。你千万不要保证已经找到了攻击者可以进入的所有后门。事实是,你不能找到更多的后门只是表明:你并不知道到哪里去查看,或者系统已经被糟蹋的千疮百孔以至于你所看到的并不是其本来面目。
3. 你不能通过使用一些漏洞清除程序来为系统“净身”。让我们假设你的系统受到了冲击波的攻击。许多厂商(国内的、国际的都有)都发布了其漏洞清除程序。在清除工具运行之后 ,你能相信一个曾受冲击波攻击的系统吗?笔者不能。因为如果系统易受到冲击波的攻击,那么它也容遭受其它形式的攻击。你能保证其它的某种攻击不会针对你的系统吗?
4. 你不能通过使用一个病毒扫描程序来保障曾受到攻击的系统是安全的。一个完全受到损害的系统是不可信任的,它不会告诉你真相。甚至病毒扫描程序在某种水平上还要依赖于系统对其“真诚相见”,也就是说系统会向病毒扫描程序撒谎。如果要问一个特定的文件是否存在,攻击者可能只需要一个工具就可以告诉你一些虚假信息。.如果你能保证损害系统的唯一因素是一个特定的病毒或蠕虫,并且你知道这个病毒或蠕虫没有与之相关的后门,而且由这个恶意代码利用的漏洞不能从远程利用,那么可以使用一个病毒扫描程序来清洁你的系统。例如,多数电子邮件蠕虫依赖于一个用户打开一个附件。在这种特定的情况下,系统上的唯一感染源就是包含蠕虫的邮件附件。不过,如果这个被蠕虫所利用的漏洞能够在用户不操作的情况下被远程控制,而且你不能保证蠕虫是利用此漏洞的唯一因素,那么其它的某种恶意代码利用同一个漏洞的可能性是完全可能的。在这情况下,你就不能只是为系统打上补丁就万事大吉了。
5. 在现有的系统上重新安装操作系统也不能保证系统的安全性。攻击者仍会使用安排好的一些工具来欺骗安装程序。如果是这种情况,安装程序可能并没有真正清除受到感染或损害的文件。此外,攻击者还有可能在非操作系统部件中安置后门。
6. 你不能相信通过复制、粘贴等手段来自受损系统的任何数据。一旦一个攻击者进入了一个系统,其上的所有数据都可能被篡改。将一个受损系统的数据复制到一个干净的系统上,其结果是什么呢?最好的情况是,你将得到潜在地不可信任的数据。最糟的情况是,你可能复制了一个隐藏在数据中的后门。你说可怕不可怕?
7. 你不能相信受损系统上的事件记录。一旦一个攻击者完全进入了一个系统,他修改事件记录来掩盖其攻击的足迹是相当简单的事情。如果你依赖于事件记录来告诉你攻击者对你的系统做了什么操作,那么你有可能正中其下怀,因为你读的可能是黑客们需要你读的东西。
8. 你还可能无法相信最新的备份。你能指出最初的攻击是什么时候发生的吗?前面说过,事件记录是不可相信的。如果没有这些知识,你最新的备份就毫无用处。也许可以这样说,你做的只是一个包括目前系统上所有漏洞的备份,你能相信任何备份吗?在你上网炒股时尤其要注意这一点,因为你无法完全确定用以恢复的系统没有包含“网银大盗”这种间谍程序。
9. 也许我们可以这样说,保持系统健康的唯一正确方法是自己破坏原有的系统,并重新构建它。也许可以这样说,要想创造一个新世界,首先要打破一个旧世界。如果你拥有一个受到彻底损坏的系统,你可以实施的唯一安全措施是重新构建、安装系统。
还有其它什么选择吗?我们的回答是有的,那就是一开始就要防止系统受到攻击。关于这方面有许多文章,你可以上网上找到许多资料,例如,通过一般用户上网查找资料,正确设置浏览器防止自动下载,及时安装下载补丁(不过,你怎么知道什么时候算是“及时”?你能为所使用的所有应用程序和工具及时安装补丁吗?),修改超级用户密码,安装防火墙,等等,在此笔者就不一一列举了。但我们要说的是,没有绝对安全的网络和系统!
保护隐私的几个关口设置
总希望有一块天地属于自己,总有一些东西属于隐私。数字化让你保存信息越来越方便的同时,也带来了私密随时会意外泄露的可能。究竟该如何保护电脑上信息的安全,以免让自己的隐私或者商业机密流传到网上呢?下面这6个招数虽然简单,但效果不错,看了就可以用,用了就管用!在江民杀毒软件的官方网站看到这个,跟大家分享一下.??关口1:删除原件
??如果电脑出现故障需要外送修理的时候,先把有用的资料备份到U盘中,然后把文件删除。??
??关口2:粉碎文件
??即使您把电脑中的文件从“回收站”里彻底删除了,高手们用一些恢复软件还是有可能从硬盘中找到那些已被您删除的文件。有个窍门,就是利用多个杀毒软件都提供的“文件粉碎”功能,对文件进行彻底的不可恢复性粉碎。??
??关口3:二次加密
??在使用网络相册、网络空间存储相片和文件时,最好多分几类,然后分别为其二次加密,最好密码不一样,以免被人“一次看光”。?
??关口4:及时打补丁
??安装防火墙和杀毒软件,并及时打补丁,防止黑客入侵。??
??关口5:不存邮箱
??不要把重要信件保存在邮箱内,邮箱服务并非万无一失,用户名和密码也有被破解的可能。??
??关口6:硬盘打孔
??有些人靠恢复废弃硬盘内有价值信息并出售获利,我们在处理废旧电脑时,应对硬盘特殊处理,可把废弃硬盘内的盘片打孔或毁坏。
如何对付u盘病毒
U盘病毒的肆虐相信大家都已领教过,稍一大意就会有中毒的危险。每次同学、同事的U盘在你的爱机上插来插去总是让我们“提心吊胆”,总不能因为病毒的原因就把USB端口给禁用了吧?用其它U盘病毒免疫工具总有一定的局限性(例如:要禁用自动播放功能,比如说当你需要使用自动播放功能时呢?而且有的工具生成的Autorun.inf歧义文件夹现在病毒已经很轻易可以删除,有举的朋友可以用冰刃删除试试),怎么办呢?[img]http://forum.jiangmin.com/UploadFile/2008-4/200842103141454.png[/img]
江民对毒病毒真的很有一套,“移动设备存储控制”功能主要是为对付U盘病毒设计的,当用户插入U盘时会首先进行拦截,只有当用户输入正确的口令才可以继续对U盘进行操作,这样就可以防止病毒侵入了,不仅如此,此功能还可以为你的电脑保密,为什么这么说呢?我们知道电脑上的文件很容易被小小的U盘带走,如果当你不在时,别人可以很轻易将你电脑上的资料(商业机秘,个人隐私)拿走,后果不堪设想,OK,现在有了KV2008,只要开启“移动存储控制功能”,并且设置一个口令,我们就可以为我们的移动存储设备加个锁,这样既可以防病毒又可以保护资料,何乐而不为呢?
如何开启移动存储控制功能?不要着急,慢慢跟我来,我们打开江民杀毒软件主界面,单击“工具”-“设置”,在“江民设置程序”中选择“保护密码”,我们勾选“移动设备存储”选项,并且一定要注意勾选“修改密码/设置密码”选项否则不会生效,然后设置好访问U盘的密码,单击“确定”,重新启动计算机,大功告成~
[img]http://forum.jiangmin.com/UploadFile/2008-4/200842103141807.png[/img]
北京网络行业协会、江民科技联合发布11月29日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanDownloader.Agent.arqg“代理木马”变种arqg和Trojan/PSW.QQGame.hx“QQ游贼”变种hx值得关注。英文名称:TrojanDownloader.Agent.arqg
中文名称:“代理木马”变种arqg
病毒长度:200704字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.arqg“代理木马”变种arqg是“代理木马”木马家族中的最新成员之一,是一个由其它恶意程序释放出来的木马下载器,采用“Microsoft Visual C++ 7.1”编写,未经过加壳保护处理。该病毒功能十分强大,能根据骇客需求实现木马下载、DDos攻击、反安全软件等不同的功能,还可进行自我升级更新,以更好的躲避杀毒软件的围剿。“代理木马”变种arqg运行后,会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32”目录下,重新命名为“compbatc.ocx”。然后创建新的用户级权限进程“svchost.exe”,并将“compbatc.ocx”注入其中运行,以进行更好的自我隐藏。在被感染计算机的后台遍历当前系统中的所有进程,一旦发现某些与安全相关或特定的进程存在时,便会以多种方式尝试将其结束,从而达到自我保护的目的。在后台连接骇客站点,获取病毒配置文件,根据其中的内容下载大量的病毒或木马并自动调用运行,还可能会根据配置文件中的参数,利用被感染计算机向指定网站或者IP地址发动多种类型的DDos攻击,为信息网络的安全环境造成了更多更大的威胁与破坏。另外,“代理木马”变种arqg通过木马主程序的调用实现开机自动运行。
英文名称:Trojan/PSW.QQGame.hx
中文名称:“QQ游贼”变种hx
病毒长度:14848字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQGame.hx“QQ游贼”变种hx是“QQ游贼”木马家族中的最新成员之一,采用高级语言编写,未经过添加保护壳处理,是由某个木马主程序释放出来的DLL病毒文件。该病毒会由木马主程序复制到指定目录下,并随木马主程序的启动一起被加载运行。“QQ游贼”变种hx是一个专门盗取“QQ三国”网络游戏会员账号的木马,通过插入游戏主程序进程,利用内存截取等技术来实现盗取该网络游戏的账号信息等目的,并在后台将窃取到的玩家机密信息以表单形式发送到骇客指定的远程服务器页面“[url]http://1.10000sanguofds[/url]***.cn/postly/post.asp”、“[url]http://2.20000sanguovne[/url]***.cn/lym/001dhjkgd/post.asp”、“[url]http://3.30000sanguorel[/url]***.cn/postly/post.asp”、“[url]http://4.40000sanguopou[/url]***.cn/lym/001kgddhj/post.asp”上,致使网络游戏玩家蒙受不同程度的经济损失。
北京网络行业协会、江民科技联合发布11月30日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/QQFishing.c“QQ诈骗犯”变种c和Worm/AutoRun.xd“U盘寄生虫”变种xd值得关注。英文名称:Trojan/QQFishing.c
中文名称:“QQ诈骗犯”变种c
病毒长度:835584字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/QQFishing.c“QQ诈骗犯”变种c是“QQ诈骗犯”木马家族中的最新成员之一,采用VB语言编写,未经过添加保护壳处理。“QQ诈骗犯”变种c运行后,会在被感染计算机系统的Windows目录下释放木马程序“systnn.exe”,并调用执行。“systnn.exe”运行后,会在当前目录下释放另一木马程序并将其执行。这两个木马会在后台连接骇客指定的恶意站点,并反复弹出假冒的QQ公告和QQ气泡窗口,用以播放虚假的中奖信息,从而达到网络钓鱼的目的。在其所连接的恶意站点中,还存在利用微软MS07-017漏洞进行攻击的网页脚本病毒。该脚本病毒会在后台下载一些恶意程序并调用运行,干扰一些常见的安全软件,以降低被感染系统的安全性,为病毒实施更大的破坏创造了条件。
英文名称:Worm/AutoRun.xd
中文名称:“U盘寄生虫”变种xd
病毒长度:1512698字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.xd“U盘寄生虫”变种xd是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种xd运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。在被感染计算机系统的后台定时访问指定的恶意广告站点“[url]http://hi.baidu.com/sil[/url]****ou”、“http://hida******.cn/ul.htm”等,提高这些恶意网站的访问量(网络排名),不仅给骇客带来了非法的经济利益,还严重地影响和干扰了用户对计算机的正常操作。另外,“U盘寄生虫”变种xd还会占用大量系统资源,极大地降低了系统的运行速度。“U盘寄生虫”变种xd会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”(自动播放配置文件)和病毒主程序文件(“U盘寄生虫”变种xd),以达到双击盘符激活“U盘寄生虫”变种xd的目的,从而利用硬盘、U盘、移动硬盘、SD卡等存储设备进行自我传播,给计算机用户带来更多潜在的安全威胁。另外,“U盘寄生虫”变种xd会修改系统注册表,实现蠕虫的开机自启动。
北京网络行业协会、江民科技联合发布12月01日病毒播报
江民今日提醒您注意:在今天的病毒中Worm/AutoIt.j“多面杀手”变种j和TrojanSpy.Jiospy.b“隐形谍”变种b值得关注。英文名称:Worm/AutoIt.j
中文名称:“多面杀手”变种j
病毒长度:126976字节
病毒类型:蠕虫
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoIt.j“多面杀手”变种j是“多面杀手”蠕虫家族中的最新成员之一,采用高级语言编写,未经过添加保护壳处理。“多面杀手”变种j在运行后,会将病毒文件复制到被感染计算机系统的“%ALLUSERSPROFILE%\Application Data\”目录下,并重新命名为“crazya.exe”。同时,还会将该病毒文件分别另存为“%windir%\debug\,.exe”和“%windir%\system32\isass.exe”。“多面杀手”变种j还能根据系统环境的不同,在“%ALLUSERSPROFILE%\Application Data\”下生成四种不同的“autorun.inf”文件。在后台秘密监视用户计算机上是否有移动存储设备,一旦发现有移动存储设备接入,便会将“autorun.inf”和病毒副本复制到其中,以达到通过U盘、移动硬盘等移动存储设备进行传播的目的。另外,该蠕虫会通过修改注册表启动项的方式来实现开机自动运行。
英文名称:TrojanSpy.Jiospy.b
中文名称:“隐形谍”变种b
病毒长度:32768字节
病毒类型:间谍类木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Jiospy.b“隐形谍”变种b是“隐形谍”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,未经过加壳保护处理。“隐形谍”变种b运行后,会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32\”目录下,并重新命名为“system”(无扩展名)。将自身注入到其它进程中以隐藏自我,防止被用户和安全软件轻易发现、查杀。在后台连接骇客指定的URL“[url]http://www.ho[/url]****me.com.cn/bot/ip.gif”,读取其中保存的IP地址并向其发送被感染主机的系统信息,使用户的私密信息受到不同程度的侵害。同时,该病毒还会创建一个批处理文件rs.bat到“%USERPROFILE%\Local Settings\Temp”目录中以将自身进行删除。另外,“隐形谍”变种b会自我注册为系统服务,以实现开机的自动运行。
KV2008系统诊断设置
很多情况下,由于我们误操作或者系统存在未知病毒等其它原因系统出现一些异常影响我们的正常工作,江民在没收集到这些病毒的情况下我们一遍遍地扫描仍扫描不出病毒,而我们又急需使用电脑,该怎么办呢?难道我们能做的只能是上报病毒然后静静等待吗?求人不如求己,我们这些普通网民虽然手动查杀未知病毒,但是我们可以请个“医生”为我们诊断一下,没错,现在要介绍的主角就是KV2008的系统诊断功能~打开KV主界面,单击“系统安全”-“系统诊断”,“江民系统诊断”已经出现在我们面前,让这位名医为我们诊断一下吧~
[img]http://forum.jiangmin.com/UploadFile/2008-1/200818223016882.jpg[/img]
如图,“江民杀毒软件系统诊断”,从界面上看,我们对比一下SREng,发现江民的扫描功能的方面比较全并且集成扫描、修复于一体,最人性化的是扫描时还显示出来要检测的内容,而SREng仅能在扫描完成后才会显示出来~
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081822301770.jpg[/img]
在“江民系统诊断”界面里单击“设置”,在这里我们可以设置“江民杀毒系统诊断”的选项,选择要扫描的选项,如图所示:
[img]http://forum.jiangmin.com/UploadFile/2008-1/200818223017383.jpg[/img]
我们设置完选项后,在“江民杀毒系统诊断”界面,我们选择“全部”会自动开始扫描,如果没有自开始,请单击“重新扫描”按钮,接下来休息一下,喝杯茶等待KV2008为你的系统诊断吧~
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081822383687.jpg[/img]
OK,我们看到扫描完成了,我们已经看到江民从系统安全的各方面详细的分析了系统的情况(系统诊断功能仅收集系统病毒安全信息,但是不会收集用户的隐私信息,请放心使用)而且很智能的用不同的颜色表示出安全级别:
红色代表危险、灰色代表文件不存在、黄色代表可疑,
系统诊断后会自动把可疑的选项自动上报给江民,所以如果你不看不懂生成的报告最好不要随便进行删除操作,我们可以把这些诊断结果导出来生成报告发到江民论坛,会有专业的人员为我们分析的,到时我们只需按照专家的意见对其进行处理即可清除未知病毒~单击“导出报告”,可能考虑到之前用户有无对诊断结果做出修改为了保证导出结果的即时性准确性,所以江民会再次重新扫描我们还需要等待一会儿。
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081822383293.jpg[/img]
OK,已经扫描完成,我们可以上论坛求助,也可以将诊断结果保存起来,这里我们选择“保存文件”,将结果保存起来,然后再上江民论坛发个求助帖吧,不用多久你就可以根据在专业人士的指点下清除病毒了~
【小提示:进行系统诊断时请勿执行其它无关的操作(比如不要上QQ,不要打开浏览器等),这样更有利于专家对系统情况进行诊断】
北京网络行业协会、江民科技联合发布12月02日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.Dnf.b“DNF游贼”变种b和Exploit.JS.Real.ag“Real蛀虫”变种ag值得关注。英文名称:Trojan/PSW.Dnf.b
中文名称:“DNF游贼”变种b
病毒长度:16896字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Dnf.b“DNF游贼”变种b是“DNF游贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“DNF游贼”变种b是一个专门盗取“地下城与勇士Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“[url]http://g1.wo[/url]***111.cn/6f/leyi2/post.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“DNF游贼”变种b会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。
病毒名称:Exploit.JS.Real.ag
中 文 名:“Real蛀虫”变种ag
病毒长度:906字节
病毒类型:脚本病毒
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Exploit.JS.Real.ag“Real蛀虫”变种ag是漏洞攻击病毒家族中的最新成员之一,采用JavaScript脚本语言编写,并且经过多层加密保护处理。“Real蛀虫”变种ag是一个利用“Real Player媒体播放器”漏洞进行病毒传播的脚本病毒。“Real蛀虫”变种ag一般内嵌在正常网页中,如果用户计算机没有升级修补“Real Player媒体播放器”相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种ag的恶意网页时,就会在当前用户计算机的后台连接骇客指定的远程服务器站点“[url]http://pp.p[/url]***u.com/haha/”,下载恶意程序“down.exe”并自动调用运行。其中所下载的恶意程序可能是网游木马、流氓广告、病毒后门等,会给被感染计算机用户造成不同程度的损失。
北京网络行业协会、江民科技联合发布12月04日病毒播报
江民今日提醒您注意:在今天的病毒中TrojanDropper.Agent.pyx“代理木马”变种pyx和Worm/AutoRun.xb“U盘寄生虫”变种xb值得关注。英文名称:TrojanDropper.Agent.pyx
中文名称:“代理木马”变种pyx
病毒长度:442368字节
病毒类型:木马释放器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.pyx“代理木马”变种pyx是“代理木马”木马家族中的最新成员之一,采用“Microsoft Visual C++ 7.0”编写。“代理木马”变种pyx运行后,会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32\”目录下,并重新命名为“compbatc.exe”。同时,还会向系统文件夹中释放病毒文件,并设置这些病毒文件的时间属性为系统创建日期,以此来迷惑用户,防止用户通过文件时间来查找病毒文件。创建“svchost.exe”进程,将自身及病毒文件注入其中运行;之后将病毒自身进程结束,以达到隐蔽自我,防止被用户和安全软件轻易发现、查杀的目的。在被感染计算机中注册名为“compbatc”和“compbatcDrv”的系统服务,以此实现木马在开机后的自启动。在被感染计算机的后台遍历当前系统中的所有进程,一旦发现指定的进程存在,便会以多种方式尝试将其结束;篡改系统Hosts文件,阻止用户升级杀毒软件或访问某些与安全相关的网站,不但降低了用户计算机抵御风险的能力,并且为病毒的进一步破坏做好了铺垫。在被感染计算机的后台秘密下载骇客指定的病毒配置文件“[url]http://www.ush[/url]******art.com/kernel/cmd.txt”,并根据配置文件的设置下载恶意程序并调用运行。其中,所下载的恶意程序包括网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。同时,“代理木马”变种pyx还会根据配置文件中的参数,使用多种DDoS手段向指定的目标发起恶意攻击,对互联网的安全环境造成了更大的冲击和破坏。另外,该木马程序还具备自我更新以及向骇客报告用户感染情况的功能。
英文名称:Worm/AutoRun.xb
中文名称:“U盘寄生虫”变种xb
病毒长度:25600字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.xb“U盘寄生虫”变种xb是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“U盘寄生虫”变种xb运行后,会复制病毒主程序到系统目录下并重新命名保存。在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串,便会尝试结束其进程;强行篡改注册表相关键值,使用户计算机系统中“显示系统隐藏文件”的功能失效,从而达到自我保护的目的,提高了病毒的生存几率。“U盘寄生虫”变种xb还会在被感染计算机系统中的所有盘符根目录下创建磁盘映像劫持文件“autorun.inf”和病毒主程序文件(“U盘寄生虫”变种xb),以实现双击盘符激活“U盘寄生虫”变种xb,从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给计算机用户带来了更多潜在的安全威胁。该蠕虫还可能会在被感染计算机系统的后台连接骇客指定的远程站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,为用户造成不同程度的损失。另外,“U盘寄生虫”变种xb会在系统注册表启动项中添加键值,实现蠕虫开机自启动。
kv2008的系统漏洞检查设置
一、什么是系统漏洞:系统漏洞即操作系统在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。 系统漏洞又称安全缺陷。
对用户造成的不良后果如下所述:
1.漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即可能是利用网络服务器操作系统的漏洞。
2.对用户操作造成不便,如不明原因的死机和丢失文件等。
3.出现蓝屏死机等现象
若系统存在漏洞可能会频繁中病毒木马,如前期的ANI漏洞在未出补丁前很多用户都受过利用该漏洞的木马病毒折磨。
二、系统漏洞检查
系统漏洞检查可对用户操作系统进行常规系统漏洞检查和弱口令检测,为用户提出修正建议和办法。江民公司会在最短的时间内将最新的补丁添加到系统漏洞补丁库中,用户通过升级即可更新到最新的补丁库,从而确保及时发现并修补所有的系统安全漏洞的目的。其使用方法如下:
1.启动江民杀毒软件(方法很多,从程序,或右下角监控中心右键菜单等,不再详述)。
2.点击工具 —— 系统漏洞检查菜单,即可启动系统漏洞检查程序。
用户若工具菜单中无系统漏洞检查项请作如下操作:
(1)点击智能升级
(2)弹出选择要升级的模块中点江民公用组件前的+号展开该类,
(3)单击安全中心/系统检查前的方框,确认勾选上该项,
(4)点击开始升级,升级完成后再看,OK,系统漏洞检查项出现了。
3.启动系统漏洞检查程序后,选中“系统漏洞检查”,单击检查按钮,
即开始对系统进行扫描,扫描完毕后,会以网页的形式将用户计算机中存在的漏洞显示出来,用户可直接在该网页中点击下载链接就可以下载对应的漏洞补丁,也可点击修复下载安装全部补丁。
:通过系统漏洞检查未发现漏洞后会提示:您的计算机暂时安全,请经常使用系统漏洞检查,确保您的计算机安全。
建议至少每月进行一次系统漏洞检查
三、弱口令检查
启动系统漏洞检查程序后,选中“弱口令检查”,单击检查按钮,KV2007即开始对系统中存在的弱口令用户进行扫描,扫描完毕后,会以网页的形式将弱口令用户显示出来,提醒用户修改口令。(和系统漏洞检查操作基本相同,不再附图)
注:仅检查操作系统用户口令而不会检查邮箱帐号,QQ密码等。
附:什么是弱口令?
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。用户口令最好由字母、数字和符号混合组成,并且至少要达到8位的长度。
kv密报设置问题
进入网络时代,如果说病毒木马程序或损坏电脑硬件,或篡改删除重要数据资料足以让我们谈毒色变;那么不法分子疯狂盗取各种网络账号资源对我们的虚拟财富(如网络游戏账号密码、即时聊天程序账号密码、重要论坛账号密码)和现实财富(如网络银行账号密码、基金股票买卖账号密码)的行为就更让我们寝食难安了!那么,网络时代我们该如何保护自己的财富安全呢?我选择了江民密保!一、我与江民密保的亲密接触
发现江民密保,是2007年初在使用江民杀毒软件KV2007光盘版安装江民杀毒软件时发现的!
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008110101246578.jpg[/img]
因为当时的我既不玩网络游戏,也不网上炒股,认为自己的电脑中没有什么“密”可保,认为实用价值不大,所以当时对2007版江民密保并不以为意!5月中旬,我开始使用网上银行时考虑到网络财富的安全,便安装了江民密保,然而不知是2007版江民密保本身与江民杀毒软件兼容性不好还是江民密保软件本身的问题,安装江民密保后出现了“硬盘双击无法打开,系统程序全部锁死”等等问题,因未能找到好的方法解决只好卸载了密保,让江民杀毒软件一身兼二职。
江民杀毒软件2008版问世后,发现在江民杀毒软件的安装程序中却找不到江民密保了!
后来辗转在江民公司的网站中找到了下载连接(必须是江民正版用户哟)![url]http://dl.jiangmin.com/download/mib.htm[/url],接下来便是下载——安装——设置——使用!这一用,还真喜欢2008版江民密保!
二、我对江民密保的三点感受
1.密码保护“我”说了算!
既然是密保,当然首先要用它保护密码安全了!打开江民密保主界面,在功能版块打开密码保护编辑,软件同时提供了默认保护和自定义保护两种模式!浏览了一下默认的保护对象,发现默认护对象除了QQ就是网络游戏,没有我需要保护的证券交易程序,于是点击浏览自定义保护对象——添加——浏览——描述信息,把我需要保护的证券交易程序添加到了自定义保护对象之中!
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008110101246181.jpg[/img]
如果我们还需要添加其他密保默认保护对象中没有的保护对象,重新点击浏览自定义保护对象——添加——浏览——描述信息,添加更多保护的对象就可以了。
添加了自定义的保护对象后,再运行已添加的保护对象时,江民密保自动将保护对象成功保护了!
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008110101246708.jpg[/img]
2.网银辅助输入“谁的网银谁做主”!
网络时代,是一个商机无处不在的时代。如果有客人需要通过我们的电脑在网上炒股或使用网络银行而又担心网银密码被盗的话,江民密保的网银辅助输入功能就大显身手了。从密保点击网银辅助输入之编辑,就可以对网银辅助输入进行编辑了。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008110101246287.jpg[/img]
在这里只要创建一个用户名、两次输入相同的密码并点击注册就完成了网银辅助输入新用户的注册,然后登入——添加,在输入数据对话框中创建一个密码别名两次输入网银密码就完成了网银辅助输入的设置。当我们打开网络银行站点需要输入密码时(注意江民密保能够自动识别我们打开的网站是否为网络银行的官方站点),江民密保的网银辅助输入就会自动弹出,我们只要在这里使用已在江民密保中创建的网银辅助输入用户名和密码登入到江民密保中选择相应的密码点击后,网银密码就自动输入到了银行网站的网银登录密码框中。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008110101246849.jpg[/img]
3.你的网银密码我来记!
网银在给我们带来使用方便的同时,因为要防范破解与被盗,往往要根据不同用途、不同站点设置不同的密码,如网银的登录密码和取款交易密码等,然而密码多了,别人不容易破解,自己也不容易记住!当某个时候我们忘记了网银的登录密码怎么办呢?去问江民密保呀!
打开江民密保,点击功能版块的网银辅助输入——编辑进入用户登入界面,输入我们在这里设置的用户名和密码登入后,点击最下面的“显示/隐藏我的银行密码”,如果密码处于隐藏状态,点击就会显示,反之则隐藏!在这里我们还可以完成更改网银辅助输入的登入密码和注销用户!
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008110101344563.jpg[/img]
综上所述,有了江民密保,真可谓密码安全不再忧,密码记忆不再愁!
北京网络行业协会、江民科技联合发布12月05日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Treemz.b“游戏托”变种b和Exploit.MS08-067.c“MS08-067漏洞利用者”变种c值得关注。英文名称:Trojan/Treemz.b
中文名称:“游戏托”变种b
病毒长度:28672字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Treemz.b“游戏托”变种b是“游戏托”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“游戏托”变种b是一个专门盗取“QQ华夏Online”、“地下城与勇士Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“游戏托”变种b会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。
英文名称:Exploit.MS08-067.c
中文名称:“MS08-067漏洞利用者”变种c
病毒长度:16384字节
病毒类型:木马
危险级别:★★
Exploit.MS08-067.c“MS08-067漏洞利用者”变种c是一个利用微软MS08-067漏洞进行破坏性攻击的恶意工具。骇客会利用该工具向运行“Windows 2000”、“Windows XP”和“Windows Server 2003”等主流操作系统的计算机发送特制的“RPC”请求。如果目标计算机上存在该漏洞,骇客不经身份验证即可利用该漏洞在远程计算机上执行任意的恶意代码,导致用户的信息安全受到不同程度的威胁。同时,此工具还可以传播木马,一般会在被感染的计算机上秘密连接骇客指定的远程服务器站点“[url]http://zz.ushea[/url]****art.com/download/”,下载恶意程序并调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。建议用户安装并合理配置防火墙,以保护网络资源免受不法分子的恶意攻击。并推荐使用江民安全杀毒软件中的“系统漏洞检查”功能对漏洞进行修补,以做到防患于未然。
利用kv2008保护电脑安全
很多时候,一些只在系统崩溃,或弹出许多陌生页面之后,才急忙去杀毒进行处理,但此时多是已经晚矣,因为你的系统已经受到摧残,或许信息已经丢失。因为现在很多针对QQ、网游的盗号木马,侵入你的系统后第一件事,就是窃取你的密码,所以,必须要防重于杀。那么,怎样才能有效防住病毒呢?1.启动实时监控。有很多人,嫌杀毒软件的实时监控占资源,往往关闭其功能,其实这是一个误区。一般的杀毒软件都只占用有限的资源,像江民杀毒软件只占用13MB左右,对于系统运行速度的影响很小。所以,我们不仅应当设置为开机时自动启动监视程序,而且还要确保监视程序持续有效运行。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281739770.jpg[/img]
2.打开实时防御。如今病毒层出不穷,如果一种病毒在病毒库没有样本信息,将很有可能越过实时监控的防护。但一个病毒要想作祟,就得要进行修改注册表、注入系统进程等一些相关动作。实时防御就是要保护注册表不受修改,保障每个软件启动时不受恶意进程影响。如果你打开实时防御,当有一个程序要做这些动作时,江民杀毒软件就会提示,并且还有明显的警告级别帮助你选择是否允许。一个病毒和木马如果不能修改注册表,或不能随系统和其它软件启动,其危害就会降低很多。同时,因为暴露了行踪,我们甚至可以手工删除它。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281739945.jpg[/img]
3.经常修补漏洞。再好的操作系统或是应用软件都会有漏洞。Windows、IE、Flash、realplayer、讯雷、暴风影音,这些都有漏洞曾经被病毒、木马所利用。当然,这当中windows和IE的漏洞应该是我们最关注的,像被冲击波利用的漏洞,还有著名的ani漏洞等等。不打上补丁,再好的杀毒软件也防不住病毒的入侵。那这些补丁上哪找呢!不用怕,江民杀毒软件专门提供了漏洞修补工具。利用它,就可以修补已有windows和IE的漏洞。另外,windows的老问题,如默认共享隐患也可以利用这个修补工具加以消除。这样,体质健康的系统自然不易被侵害。当然,多到江民网站了解一些常用软件的漏洞信息也是很有必要的,而这些常用软件的漏洞,只要升级到最新版往往就可以解决问题。
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081128173979.jpg[/img]
4.做好数据备份。不怕一万,就怕万一。数据往往是安全工作的核心部分,必须确保其绝对可靠和安全。一般企业级的数据都会利用磁盘镜像等专业手段来进行备份和处理。可往往我们的常用机器没有这些条件,只能想别的途径和办法。首先,应该习惯将重要的数据经常备份到U盘或光盘上,以便不时之需。然后,应该安装一些数据备份和恢复软件,例如江民杀毒软件kv2008里配套的系统灾难一键恢复软件,可以在系统崩溃无法进入的情况下,一键恢复系统,无论是恶性病毒破坏或电脑用户误删除系统文件,都可轻松还原系统到无毒状态或正常状态。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281739729.jpg[/img]
5.拒绝恶意网站。现在有很多网站利用一些不健康的东西来吸引人们点击,而在背后,会把黑手伸进用户的电脑。对此,我们一定要加以防范,拒绝恶意网站。但怎样才能做到一点呢?首先,要有一个恶意网站列表目录。在这里推荐使用《电脑报》的host反黑文件列表,这当中收录了大部分常见的恶意网站域名和IP地址,当然也可以自己添加。然后使用kv2008的恶意网址过滤功能,在黑名单中将恶意网站列表输入进去,
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281739671.jpg[/img]
这样就可以有效的进行防范。在江民社区,有朋已将恶意网站列表编辑为可以直接导入的rdb文件了,使用起来更加方便(链接地址:[url]http://forum.jiangmin.com/dispbbs.asp?boardID=10&ID=477345[/url])。还有一种方式更加严格,就是将允许上网的网站地址添加到白名单中,再将网址过滤的条件设置为“只允许访问白名单中的网址”,这样除了设定的网站,其它网站将都禁止登陆,这种方式适合像服务器等比较重要电脑使用。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281846773.jpg[/img]
6.慎用移动存储。现在移动存储设备相当流行,各种各样的U盘、存储卡以容量大、携带方便而深受大家喜爱。但同时,这又为病毒生存毒传播提供了条件和途径。如“著名”的auto病毒就是利用U盘来进行传播的,并以难以杀死、灭绝的姿态长期位于病毒预警首位。这其中很大的原因,就是在于大家在使用移动存储设备时不慎重。要想有效防范这类病毒,要从三个方面入手。首先要利用kv2008的“移动存储设备的密码保护”功能,禁止所有未经本人允许而随意乱接入移动存储设备的行为,以减少被病毒感染的机会。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281847969.jpg[/img]
其次,要利用windows的“组策略”关闭掉“自动播放功能”,让移动存储设备中的病毒无法自动激活和传播。最后,自己的移动存储设备,在不需要写入数据的情况下,尽量让其处于写保护状态,以避免病毒入侵。另外补充一点,在打开移动存储设备时,尽量使用windows资源管理器来进行,点击其文件夹树中“+”号来展开文件夹目录和文件,会最大限度地减少激活病毒的机会。
7.实时升级病毒库。每天都有越来越多的病毒出世,杀毒软件厂商也在不断地加速扩充病毒库。记得早期杀软的病毒库升级是利用报纸向用户传送“病毒特征码”来进行的,这说明一直以来都有要“升级病毒库”的概念。虽然现在利用互联网络,我们可以更方便地进行病毒库的升级。可是,现在很多人使用杀毒软件都不能及时升级病毒库,有的是因为懒得每天去点那个升级按钮,有的是因为事忙容易忘记,这就给新病毒以可趁之机。还好,现在的杀毒软件都推出了实时升级的概念,只要杀毒软件检测到病毒库有更新,就会自动联网升级,不需要人工参与。Kv2008可在升级设置中选择升级方式为“检测到更新后即升级”就可以确保病毒库会实时升级,保障电脑安全。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281847627.jpg[/img]
8.担心下载陷井。大到游戏,小到应用软件,我们每天都要从互联网上下载各种各样的文件、资料、图片、音乐、视频,很多病毒就可能潜伏其中。一方面,现在很多下载站点在“挂羊头卖狗肉”;另一方面,常用的下载软件“讯雷”最近也爆出多个高危漏洞;还有rmvb格式文件也有漏洞可钻,网络上出现了众多被“挂马”的视频。对此,我们首先要提高警惕,尽量到“华军软件园”、“天空软件站”之类大网站去下载;其次,要使用无漏洞的下载软件版本;最后,一定要打开杀毒软件的嵌入杀毒功能。像kv2008就可以嵌入flashget(快车)、netants(网络蚂蚁)、讯雷等下载软件之中,在文件下载完毕之后,马上自动对下载的文件进行扫描和杀毒操作,以确保系统安全。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811281847275.jpg[/img]
9.注重局域网安全。网络越来越深入我们的生活,也成为了病毒感染的主要途径,特别是近期出现的一些局域网、arp病毒,只要网内一台机器感染,就会迅速传播到其它计算机。前一段时间,我重做一台机器的系统,由于装应用软件时不小心自动登陆互联网,而当时网内正有一台机器感染arp病毒并未被发觉,几秒钟之后,新装系统的机器立马被病毒侵袭。因此,局域网除需要对路由等设备严加管理之外,更需要在每台机器上安装具备防范arp病毒攻击的防火墙,如江民防火墙等,只需要简单设置就可以确保网络安全。
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081128184769.jpg[/img]
KV2008清除电脑隐患
现在进入KV2008的核心部分----病毒查杀。杀毒软件的杀毒能力是一项评价杀毒软件非常重要的指标,也是杀毒软件的核心部分。杀毒能力不足的杀毒软件就像一个只有空壳的人一样,没有实质的东西,当然这样的软件也不能称之为杀毒软件。通过实用,可以看出江民杀毒软件独自核心杀毒技术的有效性,而且它在多方面都胜过某些同类软件。下面就以蠕虫病毒“魔波”和木马“上兴”为例来阐述江民强大的反病毒能力。1.利剑斩“魔波”。“魔波”是利用微软的漏洞进行传播的蠕虫病毒,其破坏性不亚于当年的“冲击波”病毒,但是现在人们的防范意识逐渐提高,才导致“魔波”没有像当年的“冲击波”那样肆意扩散。但是“魔波”的攻击力依然不容小视,所以现在就用KV2008以“魔波”为例来斩杀强悍病毒。
中了“魔波”病毒变种之后,病毒会在%systemroot%\system32目录中生成"wgareg.exe"病毒文件,并且会将自身加入系统服务中,使系统自带的“任务管理器”无法结束其进程。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200813222524598.png[/img]
经过在虚拟机上的病毒行为分析之后,传统查杀方法如下:右击“我的电脑”进入“计算机管理”中,选择“服务和应用程序”中的“服务”,选中病毒创建的服务"Windows Genuine Advantage Registration Service",将其“启动类型”设置为“已禁用”,下次计算机启动的时候就不会加载该服务;再定位到%systemroot%\system32目录下,将"wgareg.exe"程序删除;最后进入注册表,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg键值全部删除即可
[img]http://forum.jiangmin.com/UploadFile/2008-1/200813222525744.png[/img]
虽然这样可以杀除“魔波”病毒,但是对于很多计算机用户来说,毕竟还不是很容易。KV2008完全考虑到了这一点,使用其自带的“进程查看器”可以非常快捷、方便地查杀掉“魔波”病毒。
打开KV2008,在菜单栏中选择“系统安全”,选择“进程查看器”,再定位到"wgareg.exe"这个进程上,可以清楚地看到,江民的“进程查看器”将"wgareg.exe"这个进程的危险度标记为80%。
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081322252669.png[/img]
这样可以明确的让用户判断一个进程是正常进程还是可疑进程。右击该进程,选择“结束进程”即可将该进程结束,之后进入该病毒的文件夹中,将其删除即可彻底查杀该病毒。值得一提的是,江民的“进程查看器”不仅仅是简单的结束一个可疑的进程,它还会将这个可疑进程的服务给关闭掉(这就是为什么系统自带的“任务管理器”无法结束掉“魔波”进程,而江民却可以的原因)。再进入%systemroot%\system32文件夹下将病毒文件删除,最后清理注册表即可。
从这里可以看出,江民的杀毒能力堪称一流,即使是一款附带的“进程查看器”都有这样强大的功能,不难看出江民强悍的杀毒能力!
2.利剑斩木马。木马在这个时代是越来越猖獗,灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道,给信息安全带来了极大的隐患。它们所使用的技术也是不断更新,有的使用系统文件名漏洞来隐藏自身,有的是使用与其它程序进行捆绑来隐藏自身,还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段,江民杀毒软件都可以有效查杀这些木马!
这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。
如果中了最新的“上兴”木马之后,它会冒充iexplorer.exe和calc.exe进程(当然,对于不同的木马配置,这两个进程会有所改变),并且使用Rootkit隐藏这两个进程,在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程
[img]http://forum.jiangmin.com/UploadFile/2008-1/200813223140303.png[/img]
但是如果直接将其结束进程之后,并不会得到想要的结果,结束进程之后不一会儿它们的进程会再次启动。由此可以知道,“上兴”木马是使用双进程保护技术的,如果其中一个进程被结束了,而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护,导致江民的“进程查看器”无法将其结束。
但是和上面的“魔波”同样是系统服务,为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为,“上兴”木马是使用的进程插入技术,将自身插入到iexplorer.exe和calc.exe中,而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的,所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此,iexplorer.exe和calc.exe就会不断的被启动,并且相互保护对方的进程。
既然“上兴”使用的是系统服务来保护自身,那么就可以找出“上兴”的服务,从而对症下药。单击“开始”菜单,选择“运行”(快捷键是Win+R),输入“msconfig.exe”(不含外边中文引号),打开“系统配置实用程序”,之后切换到“服务”选项卡,再将“隐藏所有的Microsoft服务”复选框选中,就可以清楚的看到哪些服务不是系统服务了。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200813223140908.png[/img]
很明显,"Windows_Rejoice2007_45"是一个非常可疑的服务,之后再右击“我的电脑”选择“管理”,进入“服务”,再找到"Windows_Rejoice2007_45"服务,将其“启动类型”设置为“已禁用”
[img]http://forum.jiangmin.com/UploadFile/2008-1/200813223141447.png[/img]
再打开KV2008,打开“任务查看器”,将iexplorer.exe和calc.exe结束,最后进入Windows目录,将病毒删除即可。
3.斩杀特殊目录中的病毒。有很多病毒利用系统文件路径漏洞来保护自己,比如Auto等一些顽固性病毒。这些病毒利用在Windows图像界面下没法进入带有非法字符的文件夹这一特点,使普通用户难以清除这类顽固性病毒。比如在D盘点Lab文件夹中有一个"Virus."的文件夹,双击打开之后就会出现错误的提示,
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081322314162.png[/img]
这样我们就无法进入这个文件夹中清除病毒了。
但是KV2008却可以非常轻松地查杀这类利用系统文件路径漏洞的病毒,清理起来非常简单。直接扫描后杀毒就可以清除了,
[img]http://forum.jiangmin.com/UploadFile/2008-1/200813223141156.png[/img]
路径,是D:\Lab\Virus.\wgareg.exe)。不仅如此,KV2008也可以直接查杀SYSTEM帐户控制的文件夹(通常情况下,这类文件夹是Administrator类型的帐户无法访问的),比如系统还原文件夹。不得不说KV2008的查杀能力之强大!
北京网络行业协会、江民科技联合发布12月07日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/Slefdel.n“斯莱德”变种n和Trojan/PSW.QQHX.b“QQ华夏贼”变种b值得关注。英文名称:Trojan/Slefdel.n
中文名称:“斯莱德”变种n
病毒长度:185856字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.n“斯莱德”变种n是“斯莱德”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种n运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“F_Server.EXE”,同时,还会在相同目录中释放一个DLL后门模块“F_Server.DLL”。在被感染计算机中自我注册一个系统服务,实现“斯莱德”变种n的开机自启动。“斯莱德”变种n在被感染计算机系统中安装完毕后,会将运行病毒副本,同时在系统目录下创建批处理文件“Deleteme.bat”,删除自我,从而达到消除痕迹的目的。“斯莱德”变种n在运行后,会创建IE浏览器进程,并将后门模块“F_Server.dll”注入其中运行。该后门模块运行后会连接骇客指定的URL“http://b****2.xicp.net:8088/IP.TXT”,并反向连接其中指定的IP地址,向其提供后门服务,使被感染的主机成为受人所控的傀儡。骇客可以通过该后门模块对被感染的主机进行任意的远程操作,其中包括“文件操作”、“注册表操作”、“屏幕监控”、“键盘监听”、“摄像头抓图”、“命令执行”等,严重的威胁了被感染计算机的信息安全和用户个人隐私,甚至可能会对商业机密造成严重的侵害。同时,骇客还可以向被感染计算机传送大量的病毒、木马和流氓软件等,并且通过“斯莱德”变种n调用执行,致使被感染计算机的用户面临着更多不同程度的风险。
英文名称:Trojan/PSW.QQHX.b
中文名称:“QQ华夏贼”变种b
病毒长度:15360字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQHX.b“QQ华夏贼”变种b是“QQ华夏贼”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。该病毒是其它恶意程序释放出来的DLL功能组件,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行隐藏自我的操作,以防止被用户和安全软件轻易发现、查杀。“QQ华夏贼”变种b是一个专门盗取“寻仙Online”网络游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://219.***.***.176/xunzong/post.asp”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失。同时,“QQ华夏贼”变种b还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染计算机上登陆游戏官网去找回游戏密码,否则玩家的密码保护资料也会一同被骇客所盗取,使网游玩家蒙受更大程度的损失。另外,“QQ华夏贼”变种b会通过在被感染计算机注册表启动项中添加键值的方式来实现木马的开机自启动。
北京网络行业协会、江民科技联合发布12月08日病毒播报
江民今日提醒您注意:在今天的病毒中Trojan/PSW.Element.e“毒素”变种e和Trojan/PSW.Agent.gqy“代理木马”变种gqy值得关注。英文名称:Trojan/PSW.Element.e
中文名称:“毒素”变种e
病毒长度:18432字节
病毒类型:木马
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Element.e“毒素”变种e是“毒素”木马家族中的最新成员之一,采用高级语言编写,未经过添加保护壳处理。“毒素”变种e是由其它恶意程序释放出来的DLL功能组件,通过插入到“explorer.exe”和“csrss.exe”进程中加载运行。运行后,会在被感染计算机的后台秘密监视用户系统中所运行着的进程,如果发现“魔域”网络游戏的进程存在时,则会通过内存截取或键盘监视等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。同时,该病毒还会在被感染计算机的系统目录中释放一个配置文件,并且删除其它病毒所创建的一些文件。另外,“毒素”变种e由设置在注册表中的启动项实现开机加载运行。
英文名称:Trojan/PSW.Agent.gqy
中文名称:“代理木马”变种gqy
病毒长度:29184字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.gqy“代理木马”变种gqy是“代理木马”木马家族中的最新成员之一,采用Delphi语言编写,是一个由其它恶意程序释放出来的DLL功能组件。“代理木马”变种gqy是一个专门盗取“R2”网络游戏会员账号的木马程序,通过插入“explorer.exe”等几乎所有用户级权限的进程中加载运行。如果该组件所插入的进程为“r2client.exe”(R2网游客户端),则利用消息钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“[url]http://www.70[/url]***50.cn/go/”(地址加密存放)中,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成不同程度的损失。另外,“代理木马”变种gqy还具有删除指定系统文件“%SystemRoot%\system32\verclsid.exe”和下载病毒配置文件等行为,破坏了计算机系统的完整性,干扰了系统的正常运行。