拜读了萧繁写的『视窗病毒十大藏身之处』,感觉有一些错误的地方,如果直接回应怕要别人看得太用力了,所以干脆开一个新帖子回应好了。(这也是部落的其一原意所在。)
其实最近这年来,由于病毒的繁殖比起十年前,要来得容易扩散(感染),但威力却由于系统上面的漏洞慢慢被填补了,而不会有太严重的爆发性。目前最常见的类型不外是Worm、Zombie、木马、恶意网页程序这四种。
Worm类型病毒是最容易感染的,一旦爆发可以把你的电脑全面瘫痪。此类病毒最常见的病症就是会自动帮你的电脑重启、网络接入后整台电脑的处理速度会明显的慢下来等等。早期最出名的就是代号Storm这个病毒,曾经让股票行、Streamyx等服务完全瘫痪了三小时以上,损失以千万美金计算。公司内部网络曾经发生过这病毒的爆发,让我忙了整整6小时,所以记忆非常深刻。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2864%29.png" alt="哼!" longdesc="” border=”0″>
好了,说了一些病毒的故事,这里开始让我一个一个来慢慢的为大家解读,在萧繁的文章中所发现的一些疏漏:
1.带毒文件在\TemporaryInternetFiles目录下。
由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实)。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除
其实由于此目录中储存的都是一些暂存文件,所以视窗并不会有太强的保护。所保护的只是避免里面的暂存文章被其它程序恶意修改,但不是保护它们不被删除。不能轻易删除的原因可能是它们正被使用着,所以不能删除。一般上只要进入了安全模式(Windows Safe Mode),在不打开浏览器的情况下,都可以轻易删除。如果不能删除,极可能是正被某些程式在安全模式中调用着,这一般可以确定是病毒所为,但也有例外的。
2、带毒文件在\_Restore目录下,或者SystemVolumeInformation目录下。
(有关这部分曾经和tan_pang在MSN中讨论过。他存有的看法和我不一样,我尊重他的看法。但这是我工作上摸索回来的经验,所以我也保留这个观点。)
<img src="/plugins/HC_Emoticons/emoticons/red/red%288%29.png" alt="掉眼睛" longdesc="” border=”0″>
3、带毒文件在.rar、.zip、.cab等压缩文件中。
现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少,即使有也只能支持常用的一些压缩格式;所以,对于绝大多数的反病毒软件来说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。
图片也可以藏毒?比较少见,但确实有这回事!
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
这种病毒一般是引导区病毒,报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备,如软盘、闪存盘、移动硬盘上,就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。
在Windows XP或旧版本中,当我们放入U盘或光盘时,它都会自动运作。当光盘是影片或唱片,Media Player或相应程式就会自动跳出播放;如果放入的是游戏或程式光碟,你就会看到一个安装画面;如果放入的是资料光碟或U盘,档案管理就会跳出来。。。
这些动作都是在插入媒体时,视窗的自动过程。判决的方法就是取决于你的光碟格式和里面储存的内容。感染盘就是使用这个自动过程,把病毒的启动指令放在一个名为Autorun.inf的文件中。当盘接入电脑时,视窗一旦侦测到主目录内有这个文件,就会自动按照这个文件的内容去做。就算这个文件是被Hide(隐藏)了,系统也会照跑。所以最安全的方法就是把这种自动化功能关闭,或在放入不明其干净与否的光盘或U盘时,按着Shift按键直到硬盘灯完全停止才继续你的操作。
如果你进入Windows Explorer中观看它的文件列表时发现有一个不应该有的文件名为Autorun.inf,那么你就得小心了。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2851%29.png" alt="我啥" longdesc="” border=”0″>
1. 打开Windows Explorer,进入Options–>Folder Options。
2. 进入View。Hide Files And Folders 项目中,改成Show Hidden Files And Folders。
3. 在有问题的光盘或U盘上,按下鼠标右键,选Explore。
4. 在Autorun.inf上面按下鼠标右键,选Open With –> Notepad。
5. 把Notepad中的资料抄下来,然后关闭Notepad。
6. 把Autorun.inf删除。
7. 把(5)中所抄下的文件找出来,然后全部删除。
8. 如果不能删除(7)内的事物,可以打开Task Manager(按下Ctr+Alt+Del,然后选Task Manager),看看是否有任何程式正在Processes中运行。有的话表示你已经中毒了。。。在Processes列表中选取它,然后尝试End Task。不能的话需要重启电脑,进入Safe Mode后再从(1)开始手动除毒。
对于其余的几点,都没有问题。只是针对第十点的处理方案有点建议。
Shared Folder(共享文件夹)其实在电脑安全上是一个很大的漏洞。只要对电脑安全有下过功夫的,都知道共享文件夹的方法并不安全,而且就算是已经设置了安全密码的,只要在网上稍微的搜寻一下,不需要5分钟就可以找到一打方便又好用的程序把所谓的安全密码破解了。相信这对于病毒作者来说,当然也是一个非常重要的病毒感染渠道咯~那么他又有什么理由不把破解法也一并写入病毒内呢?
所以如果没有需要,我都不建议公司甚至个人网络内使用共享文件夹的方式,来分享档案。比较建议的是利用一台不常用的机器来做成分享器,而且它还得安装足够强悍的防毒软件,才能够防止病毒的感染。
在除毒过程中,最好是先把所有的通道都一一封死,包括网络接入、U盘、自动备份功能等等,让病毒无处可逃。等电脑中的病毒清理完成后,再针对所有常用的外接设备全部消毒一遍。这样一来就可以减低重复感染的问题发生了。
有很多人其实有一个错误的观念,以为电脑本身已经有很强悍的防毒作用,防毒软件嘛。。。有就好了。
等电脑在中毒后,才去找一个防毒软件安装、删毒;但不知道这时候就算是安装多么强力的防毒软件都已经不能有所作用了。
好了。暂时就到这里打住。有空再和大家分享一下正确安全使用电脑和网络。
<img src="/plugins/HC_Emoticons/emoticons/red/red%2838%29.png" alt="hoho" longdesc="” border=”0″>
其實只要不亂按東西
就算下載軟件也去一些知名網站下載 應該可以避免不少中毒情況
尤其用vista更安全得多了~
嗯嗯 看了他的再看你的
清楚得多了~
老大!!! 你在哪里找那只黑点的emo啊???
我想知道!!!*________________*
果然是emoticon queen
甚麼鬼怪emoticon 都要..
检查一下插件吧~ ^_^
是刚放进去的。。。还没公布。:P
不是啦老大, 我是想知道那小黑点叫什么名字捏~
很可爱啊!!!!!!!!!!!!!
不知道诶~:P
噢、、、原来如此。。。
谢谢村长用心的解释!(虽然有些我收不到++)
很长的comment…
Worm指的就是像虫那样,繁殖很快的恶意软件(replication)。
“早期最出名的就是代号Storm这个病毒”
请问这资料是哪儿来的?
是指Storm Worm?Storm Worm出现的时候好像是在2007年,那时候还是早期???
至于Trojan,其实是指伪装自己,或是在用户不知情下进入电脑的恶意软件。
就像Troy当那些木马是神圣的物品,不知道木马里藏着敌人那样…
除了backdoor之外,其他的恶意软件也可以有同样的性格,所以也都会被归类为Trojan…
例如keylogger,downloader之类的,也可以说是Trojan…
“想一下,有时候你的某位朋友无端端会在MSN中发给你一则讯息,说要介绍你去看某个『有趣』的网站”
这句有问题!
http://miekiemoes.blogspot.com/2008/11/msn-virus-no-scanners-detect-it.html
介绍看有趣网站的未必是Zombie,但是send file给你的就是…
“所以最安全的方法就是把这种自动化功能关闭”
这个很重要… 希望你下次可以告诉大家如何关闭。
“而且就算是已经设置了安全密码的,只要在网上稍微的搜寻一下,不需要5分钟就可以找到一打方便又好用的程序把所谓的安全密码破解了。”
Walau ye~ 你真的肯定可以找到这样的东西?
Winrar的作者都说他自己都不会解开password,就连要破解AES的WPA key都接近是不可能的任务了…
还是你说的都不是这些?
你的“手动删毒方法:”也要注意…因为现在大多数在removable drive里的不再像是以前的worm或trojan了
而是virus。和worm类似,但它们把自己贴在其他文件里(polymorphic)
其中一个类似的恶意软件就是Virut,中了Virut更是像是中了爱滋病一样…
如果只去掉autorun.inf里列明的文件而留下其他的exe file,那么还是有中毒的可能。
“但由于它自动备份时是不会分辨所备份的是否含毒,所以很多时候会把病毒也一并备份进去。”
这在Dignostic时其实是件好事… Microsoft从Windows ME直道现在最新的Windows 7(beta)里都还用System Restore自然有它的道理。
很多Anti-virus网站都教大家在去毒之前,一定要先关闭System Restore,那是因为他们有自己的原因:
1. 就像你说的,它们不能将里面的资料去除。在用户看到“Cannot be remove”之类的字时,他们会惊慌…
2. System Restore里的文件是Chain file。就像Winsock32那样,如果突然中断(里面的其中一个文件被去除了),那么整个都会corrupt
3. 现在也有很多anti-virus可以直接删除System Volume Information里的文件,但不知道的用户按删除后,他们不知道这样会令整个System Restore都corrupt…
当然,这些原因,再加上Anti-virus vendor觉得他们的软件不会有问题,所以才会叫我们先关闭System Restore…
但如果anti-virus开始有问题,去除了错的东西然后又没有restore point的话… 到时不要一直发出 ‘R’ 的叫声…
当然,“这在Dignostic时其实是件好事” 也是一个很好的原因…
我不能把别人的经验告诉你们,但我自己在去年时也有过类似的经验…
瓦老。。。你们都比我强。。。这样我不用再你们面前班门弄斧了。。。嘻嘻
放心啦~相信在蚂蚁也找不到第四位。。。:P
Tan_Pang和我都是IT本科,当然在这方面有些认识啦~
对了,我忘了说一点
在刚中毒后,System Restore也可以用来复原到中毒前的状况…
相信这个也有很多人试过吧…
tan_pang: 是可以回复到中毒前的状况,但只能够“暂时”把常驻在记忆体内的病毒程式消掉,原来的病毒档案还是会继续存在,而且那些已经收到损伤或感染的档案并不会由此而恢复正常。
System Restore只是一个鸡肋程序,有无均可。
“是可以回复到中毒前的状况,但只能够“暂时”把常驻在记忆体内的病毒程式消掉”
这需要改正一点,那就是把“记忆体”改成“registry”
“原来的病毒档案还是会继续存在,而且那些已经收到损伤或感染的档案并不会由此而恢复正常。”
前一句正确,但后一句真的很令我失望…
你没看过一些感染的文件,然后要从System Restore里拿回正常的文件个案…
而且最下面的这句…
“System Restore只是一个鸡肋程序,有无均可。”
Walau ye… 我还是不要说了…
我是multimedia的。。。哈哈!!!
Tan_Pang:每个人的观念不一样。你的说法正确,如果你确实知道电脑中病毒的确实时间。
但一般上,以支援人员来说,是不太可能知道电脑是什么时候中毒的。时间就是金钱,也不太可能一个个Restore Point去测试。所以我才说SR是一个鸡肋功能。
萧繁:Multimedia也有不少高人的。:)
我不是高人~~~
汗