发现一严重问题:木马和病毒通过修改时间造成的一系列影响
+++++++++++一点题外话++++++++++++++++++++++++++++++++++++++++
最近来论坛活跃的频率实在很高。
也怪自己最近好运气不光临,经常出一些和金山毒霸相关的问题。
随之情绪变得很坏,把气出在毒霸身上。
其实,细想想,根本上说还是木马和病毒惹的祸。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
下面说说我遇到的详细情况:
早晨来毒霸论坛发完两个贴子之后,又遇到一个麻烦:
同事拿来一个U盘,查杀没有病毒之后,打开U盘查找资料。
我的电脑是设成可以显示隐藏文件的,所以当时看到U盘根目录下有两个文件:
一个是autorun,inf,另一个文件的图标显示为MS-DOS。
马上手动删除。
同时,金山ARP防火墙开始报警。
所以猜想,那个MS-DOS文件可能是一串命令,所以没有被毒霸查杀掉。(这是第一个值得注意的地方)
打开资源管理器,手动删除所有磁盘根目录下的这两个文件。
重新启动电脑后,发现网镖、安全中心、ARP防火墙均无法随系统启动。
手动运行,发现可以正常启动。
说明这几个程序没有被木马和病毒损害。
运行金山清理专家,清理掉了一批木马和病毒,并执行了扫尾工作。
再次重启,并再次运行清理专家扫尾。
第三次重启后,清理专家没有查出任何问题。
但安全中心和ARP防火墙仍无法正常启动。
在此情况下,使用金山毒霸查杀病毒,总提示“你的版本过低!”(这是第二个值得注意的地方)
我是今天早晨到论坛发表贴子之前,就手动升级的病毒库啊!
再次手动升级,毒霸提示已经是最新的了!
这个时候,我打算来论坛求助。
正确输入用户名和密码之后,网页上已经显示我的用户名: smiler0.
可当“自动跳转”的时候,总是返回输入用户名和密码的界面!(这是第三个需要注意的地方)
最后,无奈的情况下,只好使用GHOST还原了系统。
还原之后,网镖和安全中心正常了,ARP防火墙仍无法正常随系统启动。
同时,有好几个程序无法正常安装。
最明显的是腾讯的两个软件:QQ和超级旋风。
反复使用安装程序,均无效。
在网上查找到原因:系统时间被修改!
当我打开系统时间的时候发现,已经被修改为2102年了!
一切问题迎刃而解了。
因为木马和病毒修改了系统时间,所以造成以下几种情况:
1、网镖、安全中心、ARP防火墙被强制关闭,无法正常随系统启动。
2、安全中心总是提示,你的病毒库版本过低,即使当前病毒库已经升级为最新。
3、一些对系统时间敏感的软件无法正常安装。
4、因为cookies的时限一般是几个月,而系统时间被调整为100年后,自然失去作用。
综上所述,木马和病毒正是采用了修改系统时间这种方法,
从而达到如下目的,
1、让杀毒软件无法正常启动,而不是去强行关闭它,因为杀毒软件已经有了这种防御!
2、让cookies过期,让用户无法进入论坛求助。
3、让一些对系统时间有依赖的EXE文件无法运行,庆幸的是,毒霸的安装程序不存在这种问题。
所以,我提个想法:
毒霸在修改系统时间这个问题上做一些防护呢?
