当前位置:>>
首页
>> 杀毒技巧 >> 正文
优秀征文来稿选登:当“雏鹰”遇到“老鸟”
www.jiangmin.com 2006-8-8 11:31:03 信息出自: 江民科技
作者: 王为唯
平安夜不平安。这天,笔者收到一封病毒邮件,凭着笔者的经验得知,邮件附件为“雏鹰”(I-Worm/BBEagle)的变种,可惜的是当前国内还没有反病毒软件能够查杀它。
借此“机会”,笔者特地测试了KV2006的未知病毒防御功能……
首先,我们先来研究此病毒的行为:
此为一个EXE文件,图标是一个JPG图片格式文件的样子,非常具有迷惑性。此病毒运行后会添加anti_troj.exe这样一个文件到%windir%\system32目录中,可能添加一个winlog.exe到%windir%\system32目录下,同时会在%windir%中生成一个exefld这样的文件夹,里面随机生成由6位阿拉伯数字命名的EXE文件(此文件目的是确保winlog.exe的存在)。
病毒运行后可能会联网下载b..php这么一个文件,系统若有漏洞此文件会自动执行……
病毒添加如下注册表键值以达到自启动的目的:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<anti_troj><C:\WINDOWS\system32\anti_troj.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<key2><C:\WINDOWS\system32\winlog.exe>(可能存在)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<anti_troj><C:\WINDOWS\system32\anti_troj.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<key2><C:\windows\system32\winlog.exe>(可能存在)
好,事先知道了病毒的行为,我们就来看看KV2006的未知病毒防御能力到底是不是浪得虚名。
笔者重新来到一个干净的系统环境下,因为事先有充足的准备,并且对KV有着十足的信心,所以毫不犹豫地自己运行了此病毒文件。
刚一运行,KV的木马一扫光立刻报警,提前阻止了病毒对注册表的多处修改。
这样一来,此病毒就不可能会在下次启动计算机时自动运行了。实际上这一步已经可以清除病毒了。我们注意到上图中的“终止该进程”的按钮,如果我们点选它,病毒进程就被结束掉,然后只要找到那两个病毒文件删除即可,而注册表不必理会,因为病毒没能成功改写注册表信息。
KV的木马一扫光仅仅是KV2006中未知病毒防御功能的一部分,为了尽可能地体现出此反病毒软件的强大,笔者又一次“上了刀山”。
这一次,我特地将KV的木马一扫光监控给关闭掉,然后再运行这个新病毒。这时病毒自然很顺利的运行起来并且做了它“力所能及”的事……
江民公司从KV2005版开始增加了一款名为“未知病毒检测工具”的软件,它与KV反病毒软件无缝集成(其实可独立运行)。这款软件体积虽小,可是能力非常的大。它以分析病毒的行为为主要目的来判断新病毒的可能性,最后给出一个概率值。基本上只要是病毒它都能够分析出来。
笔者启动了此工具,快速的用它扫描了一次系统,不出意料地扫到了这两个新病毒体。说到这里,笔者想发表一次感叹:目前为止,敢问有哪款软件能够在不升级病毒库的情况下依靠扫描程序这么准确的扫描出新病毒? :
说到这里,笔者发现系统的任务管理器打不开了,看来是病毒所为。不过没关系,KV又一个好东西上场了。
笔者启动木马一扫光的管理界面,里面有一个比任务管理器功能强大的进程管理工具,通过它轻松干掉了病毒的进程:
再次动用它的“自动运行管理”,我们轻松找到病毒的自启动项,将其删除:
最后删除掉病毒生成的文件就大功告成了。一个干净的系统又出现在我的眼前。
笔者在这里做这个测试,目的仅仅在于告诉各位朋友,KV2006的未知病毒防御功能是非常强大的。通常我们不需要借助其他软件就可以很轻松的解决掉已知和未知的病毒。
在互联网飞速发展的今天,每天新出的病毒数量比以往翻了好几倍,如果我们仅仅停留在依靠升级反病毒软件的病毒库来抵御病毒的状态下,那么我们将会不堪一击。我们需要的正是像KV2006这样的对未知病毒有着极高防御力的软件来保护我们的系统。
赶紧行动吧。“网络安全,选择江民”
