Board logo

标题: [分享] 一次真实的染毒测试! [打印本页]
作者: 2225818    时间: 2007-4-9 00:01     标题: 一次真实的染毒测试!

[分享]一次真实的染毒测试!
图片:

配置完一台机器后已经是下半夜2点,可能是太累了一次小小的疏忽为后面的发生的事情埋下了伏笔,我颠倒了McAfee和科摩多的安装顺序。致使McAfee和科摩多的监控相互打架,而且发现问题后我也没有及时的修正。毫无精神的开始经行更新补丁。此时发现我少一个工具软件于是去一个我 以前去的没有问题的网站下载,但是登录后发现页面打开非常慢但是数据流量确很大,立即意识到不好!此时困意全消!

我重新检查了系统,由于上面提到的McAfee和科摩多由于安装顺序出现了问题,使得科摩多的记录几乎没有任何参考性,McAfee虽然好一些但是再开机后一段时间监控会被关闭几秒然后会恢复,这显然不是兼容性的问题。于是便想使用Autoruns查看启动项,但是Autoruns已经无法启动!但是优化大师还没有被感染!再启动中我发现,系统有4个分别使用一个,两个,四个,六个随机子母为名字的启动项,另2个启动项于AVG Anti-Spyware启动类似,但是优化大师已经进行红色高危提醒!但是这六个启动项是无法删除的你删除后自身就可以立即恢复!我现记住这些注册表关联项的程序的地址及名称,等一下再来收拾它们。

我们现在已经知道了注册表中的问题,但是病毒/木马到底再哪里我们还不清楚,那用AVG Anti-Spyware试一试?嘿嘿!AVG Anti-Spyware的监控会立即提示内存中有4个木马(现在我们第一次知道我感染了是木马以及木马的名称),但是AVG Anti-Spyware清除后木马会立即恢复!而AVG Anti-Spyware也会陷入不断查杀的死循环中,用户无法进行任何有效操作。看样子AVG Anti-Spyware也不会完全解决问题,但是还好它已经告诉我内存运行的木马的所在目录及名称,老方法记住它!

还是不托底,于是将硬盘挂再另一个没有问题的系统下进行查杀!这个系统使用的瑞星核对一下我们记录的木马信息!注册表关联项瑞星不会有提示,但是瑞星还是给我们几个新的木马信息多了几个DLL文件......

再回到我们原来的系统!使用IceSword(注意选上禁止线程创建)killbox就可以了,现删除病毒文件再删除注册表启动项!

重新启动系统启动项已经正常,AVG Anti-Spyware也已经可以使用,McAfee也恢复了,但是用它扫描后又看见新的木马DLL文件......后来用费尔托斯特安全又发现更多问题(图)。最后用DrWeb经行复查没有问题,才宣告手工查杀完毕!
发现具体是什么木马后,我有意没有查找木马的相关资料!就是对目前比较热门的安全软件进行测试!

通过以上的文字,大家会发现目前的木马一旦中招而用户有没有手工清除该木马的教程的时候。清除是非常困难和繁琐的。而且也没有什么可以包治百病的神奇软件!杀毒软件其实本身其实就是一个翻译上的误区,因为安全软件的重点其实并不是感染后的 查杀上,而是对目前已经威胁的提前防御上。

McAfee和科摩多
大家安装McAfee和科摩多时一定要注意现安装McAfee再安装科摩多!否则软件监控会出现兼容问题。McAfee实际应对国产木马的效果我不想也不能因为这一次感染进行评论,但是杀毒软件太有名也不是什么好事。科摩多应对外部威胁测试时间很短我还不能进行更多的评价,但是防止内部信息泄露科摩多确是是我用过墙中最好的!但是科摩多有一个很奇怪的问题,它对比它安装晚的软件都有一些兼容的问题不单是McAfee,O&O Defrag等,但是如果最后安装科摩多就可以解决,这可能是因为科摩多软件认证上一些问题。

AVG Anti-Spyware
几个几乎被奉为“神”级的软件,但是它其实也仅仅只是一款软件。不是无所不能也不是一无是处!

费尔托斯特安全
嘿嘿!最后解决问题的软件,也是我极力推荐作为辅助杀毒的工具。但是它有一个问题他对Mozilla Firefox C盘配置文件查杀速度非常缓慢,大家再用费尔托斯特安全作为辅助杀毒时可以再辅助设置时排除该目录。当然你对时间没有要求也可以不管!

瑞星DrWeb
我很喜欢瑞星,但是由于本次测试的时候我只把瑞星定为木马检测程序所以没有什么更多可说的。由于卡巴,SSM,SNS等俄系安全软件再国内人气的不断攀升,DrWeb也走入人们的视线而且它还有一个俄军用的背景,我没长时间使用所以不做评价。

免费工具
不管用户安全要求是什么,IceSword,killbox等安装工具一定要常备,而且平时也最好注意搜集一些不出名的安全工具,否则碰上Autoruns等无法使用的时候会让你很难办!

国产安装软件
我们迷信过各种流派的安全软件,就是现在也不断的重复着这种流形趋势,但是再上次海底光缆断网之前我们从来就没有流形过自己的安全软件,现在也该是流形的时候了!毕竟历史上无数次的证明用别人的武器保护自己的国家不无都受到别人的限制!

国产安装软件推荐EQSecure for System
国产3D级的HIPS(不了解HIPS请看我置顶的帖子)SSM,SNS这些俄系HIPS再网民中已经开始逐渐火了起来,从论坛上点击率惊人的破解SSM,SNS就可见一般,但是国产的免费3D软件EQSecure for System确知之甚好少!其实相比SSM,SNS,EFS再功能上毫不示弱,也没有汉化上的问题更没有对中文的支持的问题,更重要的是你可以再其BBS上第一时间上提出发现的BUG,并得到第一时间的解决!
EQSecure for System官方网站http://www.eqsecure.com/(大家好想对软件的图标有意见,图标制作高手可以去官方BBS发表自己制作的图标,一起美化一下我们这个国产的HIPS)



欢迎光临 IT家园 (http://bbs.it998.com/) Powered by Discuz! 7.2