papa

一周病毒报告(12.10-12.16)

来源：金山客服中心

目录：

热点病毒咨询：异常的shell是什么？
流行病毒现象：李鬼冒充李逵
病毒处理技巧：病毒专杀——舍我其谁？
毒霸防毒建议：用防火墙监视联网可疑程序的一举一动
流行病毒列表：12.10-12.16毒霸发布的病毒预警


『热点病毒咨询』异常的shell是什么？
      本周很多用户咨询异常的shell是什么病毒。该提示是由于病毒写入了注册表中shell键值，从而位置导致病毒随机加载。
本周流行的那个病毒位置如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe vchelp.exe>
注册服务『ServicevcHelp』对应文件为：X:\WINDOWS\system32\vcplay.exe 进程中存在vcplay.exe并伴随其他病毒和木马。

在金山网镖中会有出站访问提示：

是否允许.jpg (13.17 KB)

2007-12-17 14:35

处理方法是在安全模式下将X:\windows\system32\vchelp.exe X:\windows\system32\vcplay.exe
使用文件粉碎器删除，并修改注册表中shell键值为默认值即可。注册表默认值如图所示：

shll注册表.JPG (90.17 KB)

2007-12-17 14:35

『流行病毒现象』李鬼冒充李逵
    一直以来很多用户判断病毒的方法是根据文件名在网上搜索的相关信息判断是否为病毒，殊不知病毒本身是程序，它可以叫任何名字、放在任意路径、做任意行为。这也导致了很多用户随意看了网上几个链接或帖子，便向客服咨询类似：“svchost.exe是否是病毒？”，“杀毒软件关闭是中了橙色八月吧？”，“snow.exe是飘雪病毒吗？”的问题。
    实际上根据文件名和网上评论判断是否为病毒的方法是非常不科学与严谨的。因为即使是反病毒专家也无法通过肉眼看到文件内部的结构与代码，并且你永远不知道病毒作者会做何修改。真正能看透文件本质的是杀毒软件，而并非网上人云亦云的种种杀毒方法。
    病毒是会变的，方法也是没有真正绝对的。例如一个很流行的病毒ravmon.exe它会冒充知名反病毒厂商的监控文件，一般用户很容易认为他是正常的。
病毒加载常规启动项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /SVCHOST      
%systemroot%\MDM.EXE
释放X:\autorun.inf 、X:\ravmon.exe、%systemroot%\SVCHOST.exe 屏蔽隐藏文件
该病毒运行金山毒霸杀毒即可处理。
使用金山系统清理专家手动处理病毒的思路参考：
http://bbs.duba.net/thread-21849402-1-3.html


『病毒处理技巧』病毒专杀——舍我其谁？
    经常遇到各种咨询流行病毒的咨询，如熊猫烧香、威金、AV终结者等。对于已经得到一定程度控制的病毒为何还在我们的视线之内呢？原因很简单，很多用户不知道如何正确使用杀毒软件以及不具备系统最基本的防病毒知识，对于已经流行过的病毒在他们身上仍然能够逞强。对此我们建议在安全模式下使用专杀工具进行相关病毒的处理，因为专杀工具对于这些流行病毒会做技术上的特殊调整，以便达到理想的清除效果。
专杀工具的下载可以通过金山系统清理专家找到下载链接。如图所示：

下载专杀.JPG (91.81 KB)

2007-12-17 14:35

『毒霸防毒建议』用防火墙监视联网可疑程序的一举一动
    在金山毒霸套装中的金山网镖，一直以来作为毒霸的防火墙程序受广大用户的欢迎与喜爱。在金山网镖中默认设置了适合家庭用户使用的防火墙规则，能够满足个人家庭用户的使用需求，建议非专业用户保持默认级别即可。如图所示：

安全级别.JPG (48.94 KB)

2007-12-17 14:35

此外金山网镖内嵌了木马防火墙，对用户数据信息再加上了一道防护。如图所示：

木马防火墙.JPG (34.28 KB)

2007-12-17 14:35

在网镖的『安全状态』中发现可疑进程后可以方便的将其结束。如图所示：

结束telnet进程.JPG (56.71 KB)

2007-12-17 14:35

注意：telnet服务可以远程访问主机资源，系统默认不开启并且家庭用户也很少用到该服务。



在网镖的应用规则中将可疑进程设置访问权限。如图所示：

设置禁止规则.JPG (59.06 KB)

2007-12-17 14:35

在『安全状态』中如果存在explorer.exe进程的话，除非用户使用explorer.exe浏览网页，否则通常是由于病毒注入explorer.exe进程导致。如图所示：

explorer断开网络.JPG (59.91 KB)

2007-12-17 14:35

出现该情况的话建议『断开网络』后进行病毒扫描。如图所示：

病毒扫描.JPG (43.23 KB)

2007-12-17 14:35

在『网络状态』中的端口监听仅供高级用户判断联网状态与自定义规则使用，一般用户不建议使用。如图所示：

端口监听.JPG (49.93 KB)

2007-12-17 14:35

结束语：病毒以及恶意行为的防护是多层次多方面的，用户需要更多安全防护知识，以便识别、预防越来越多的网络恶意行为。毒霸2008安全套装是一个维护普通个人用户信息安全的起点。简洁的界面风格与良好的易用性，为普通家庭用户构筑了强大而稳定的安全防线。


『流行病毒列表』12.10-12.16毒霸发布的病毒预警

病毒预警.JPG (71.65 KB)

2007-12-17 14:35

注：附件中的压缩包是本周毒霸发布病毒预警的详细信息，如有相关需要可以自行下载。

[ 本帖最后由 papa 于 2007-12-17 20:21 编辑 ]

t8843232