- 最后登录
- 2011-6-22
- 在线时间
- 296 小时
- 注册时间
- 2007-6-14
- 阅读权限
- 70
- 帖子
- 202
- 精华
- 32
- UID
- 1438528
 
- 铜钱
- 635
- 元宝
- 0
- 威望
- 1022
- 积分
- 728
|
发表于 2007-12-26 00:20:27
|显示全部楼层
Auto木马群新变种PK金山毒霸2008三维防御体系) H% Z" ^6 ~+ ?' Y( C7 {( w- H+ N
5 G" w9 r# _1 M- p' {7 i$ I
本周auto.exe木马群再度变种,导致未升级到毒霸2008版本的毒霸2007用户毒霸监控无法启动。" y+ i, G' @8 Q- r3 Y b' o; N
该木马群近半年内多次大范围感染与多次变种,主要破坏杀毒软件监控、下载并更新盗号木马后台安装广告程序等。4 s( g Z- f0 ~$ X
当该病毒在安装毒霸2007版的电脑上运行后会关闭毒霸07版监控,手工启动毒霸监控时会有短暂的询问提示并一闪而过。如图所示:0 G3 C" Q( _0 H3 n2 c
+ d, J2 n! H# B; ^9 @, J, t& B
( a+ @. V/ P& |/ b5 S
当该病毒在安装毒霸2008版的电脑上运行后毒霸监控依然可以正常工作。如图所示:$ v0 _. N. B) n, p
0 P$ v4 m; m; S+ i* X
' q% Z% X' f+ Y N9 j- G5 l4 v
一般的处理流程:4 W# H4 w) G6 f( Y) ^- E3 S
升级毒霸到最新,全盘杀毒,此时,应该能发现若干隐蔽软件和病毒,因病毒变种太多,无法保证清除所有AUTO木马群的病毒,但可以结合清理专家的联网安全认证功能,及强大的修复功能协助完成病毒清除和样本上报。/ M" r% D8 T) R6 x# H7 ]
: ?7 U$ ^4 i; [0 P( L具体步骤请参考下面的内容:
2 D2 ?1 M" y3 N9 j- v: X' ]( ]% n( _; i" F% L& B) Z8 j% L
本周auto.exe木马群最新变种依然在各个盘符下释放了auto.exe以及autorun.inf文件。
# H: B+ s7 ^1 J. q7 |( q; k8 B在cmd命令行下查看explorer进程,可清楚地看到该病毒在进程中插入盗号木马线程以及随机dll文件。如图所示:
: w5 U) Y8 R2 L9 Q
& r7 T3 t- E0 R3 n u+ ]' s
1 u. v) s c6 M, }病毒在%systemroot%目录释放如下主要病毒文件
+ F. {3 z: S- a( ?8 a E, e. P
( R* y- Q* y! r, O$ e
& Z" ^6 o: U; n0 H7 G
病毒在%systemroot%\system32目录释放如下主要病毒文件1 ]& D5 a) n) ?
; q, J9 ]3 v% J9 y) v
$ J Z: D h4 d
, f1 R) F5 X/ g3 i8 x6 o. b! l* D- L7 W$ a# F4 Y1 G+ \9 M0 d* u
Auto.exe木马群的处理思路
- |. b2 d/ A8 n; y; @- w4 S 由于该木马群频繁变种,导致杀毒软件部分文件不可查。针对此问题,安装毒霸2008的用户建议使用毒霸套装中的金山系统清理专家进行联网检测并提交病毒文件进行分析,以便问题的即时处理。提交病毒文件后尝试安全模式下运行清理专家的恶意软件扫描,将扫描后的恶意软件全选清除一般可以解决大多数可查木马。对于毒霸更新后仍无法处理的个别具有交叉感染的问题主机,可以通过提交清理专家检测报告到毒霸论坛向各路电脑高手寻求解决方案。: v: p. ~. @+ C. Q. z
7 ]6 v/ m3 @3 u" ]+ \9 d; P r. H% e1 H
具体操作流程如下:
8 e9 R- V# |! e# `6 l: m联网状态下运行金山系统清理专家,点击『在线系统诊断』如图所示:
+ b$ g- m H- z# `% t0 B e
. S% c+ ] P% N
' q2 A# v" y4 X) U# Q% q1 ]联机验证结束后点击『上传所有未知项』根据提示上传未知文件即可。如图所示:) s0 d' V' ]. B r/ \6 d
o" g. h- y# c4 J$ t
5 g( L- O/ N/ ^, y, |# C: H5 C( n7 L3 f如果点击上传文件按钮后没有自动添加文件的话,是由于完全相同的文件已经在服务器上面被其他用户上传,并在后台处理分析中。如图所示:
# A2 w/ m; [5 q) i+ t5 ]
6 Z* w9 Y4 A+ {( ?: ?4 N, `6 b0 O8 W$ D0 O- \7 W6 j7 y3 [
上传样本文件后重启计算机按F8进入安全模式运行金山清理专家,点击『恶意软件查杀』将扫描到的恶意软件全选清除。如图所示:% K# D- z a# R; h5 W; P
/ C& A+ U! h2 X8 m3 e- E
& a0 a1 b5 q7 X0 o a' |3 |& m2 z清除后重启如果仍然有异常并急需解决的话,请重新运行清理专家的『在线系统诊断』功能。
# X0 i0 h& J) j; J2 D) K9 M联机验证后点击『导出诊断报告』并确认勾选隐藏已知所有已知安全的项(默认勾选)如图所示:3 e5 {$ y' ~' x6 y+ b
1 u1 ?+ a! C5 u
4 e C; Q6 O0 z2 Z& A8 @& [& }# b导出后记得点击『点击这里』按钮,将保存报告文件到一个可以记忆的磁盘位置。以便提交报告文件进行相应分析。如图所示:7 s0 ~+ }3 ]$ D& p/ b
7 ]2 L" b* d; ^
" c2 i: ]- ~0 ?" H! X5 X结束语:
# r% p1 W1 W( ~
3 Z3 {- G. i1 f1 ]$ W( Z( T! U8 Q毒霸2008的三维防御体系更注重病毒的有效拦截与联网验证,从而提高了因对互联网病毒层出不穷现状的整体能力与反应效率。相信通过毒霸版本的更新换代会使广大毒霸用户得到更好的病毒防护体验。本文以auto.exe木马群为例,讲述了类似问题的处理思路希望对读者有所帮助。
. i( P0 ?# z5 Y1 i- b3 f6 g$ M: U2 v! ?- a% i; A6 F
1 }( n) v/ C, [7 _$ @: O
特别提示:
3 x- J$ o, j$ s# S目前金山毒霸2005/2006/2007单机版互联网套装用户的毒霸通行证在服务期限内的话,该通行证仍然可以激活使用金山毒霸2008套装。
* |) V n/ q$ y* ^! a注意:安装新版本前一定要卸载之前的毒霸版本以避免冲突。如果由于某些特殊原因无法正常卸载之前的套装版本的话,参考如下卸载方法:9 ^) c( o% i( T: o+ d8 A: U R2 |5 Q
http://bbs.duba.net/thread-21861140-1-7.html
6 S9 l% D$ R- `1 d$ \' B% j1 X& m1 k" x. W7 S+ U6 k% E0 ]2 Z
+ M# K) l* i6 i- y
" W) M: z& g: E5 @- s[ 本帖最后由 papa 于 2007-12-28 08:50 编辑 ] |
|