金山毒霸2008官方介绍的技术资料看上去很美,实际面对病毒时,又怎么样呢?打算搞个病毒体验一把。病毒样本是在某论坛得到的小瓢虫,这个病毒差不多同时具备熊猫烧香和AV终结者病毒的特性,所有感染后的EXE会变成绿色瓢虫图标,病毒会修改很多系统配置,采用映像劫持或其它方式强行关闭杀毒软件。
测试环境:winxp sp2,金山毒霸2008官方下载版(病毒库12.5)
测试步骤:1.先看一眼这个瓢虫
2.试一下金山毒霸2008能否被瓢虫病毒干掉,特意关闭了金山毒霸的升级功能,测试的结果是金山毒霸、网镖、清理专家全部安然无恙。中毒后,重启系统,金山毒霸仍然运行正常,病毒劫持毒霸的目的未达到。
3.中毒后的现象,初学者可能只有格式化重装一条路。
a)控制面板不见了
有时,病毒的BUG无法完全隐藏控制面板,打开控制面板的项目时,报如下错误:
b)任务管理器、注册表编辑器被锁
运行regedit时,提示:
c) 所有磁盘被完全共享,这个是病毒使用net share命令实现的,病毒会尝试共享所有驱动器。
d)瓢虫还在每个磁盘根目录创建了三个快捷方式,三个快捷方式都指向病毒程序自身。
e)病毒会感染除系统盘外的EXE程序,不过病毒的感染并不成功,是用覆盖方式实现的,被感染的EXE,一眼就被看出来,程序原有的功能丢失。和熊猫烧香一样,感染的EXE全是瓢虫图标。
f)病毒还有更多修改,具体看该病毒的详细分析:
http://bbs.duba.net/thread-21863367-1-1.html4.看我用金山毒霸08和清理专家来解决a)第一步,先尝试升级毒霸,注意看下上面开始测试时,病毒库的版本是12.5,升级到最新后,立即全盘杀毒。同时,可以进行下一步了。
b)使用清理专家的系统修复,查启动项,隐藏已知的安全项之后的结果:
c)再看全面检测,这里省略了很多映像劫持的项目,以使截图清晰,在隐藏了已知的安全项后,可以发现病毒修改了文件关联,添加了一个驱动程序。
d)现在毒霸08全面查毒已经有结果报告,首先发现了几个恶意软件,明显,小瓢虫运行后,下载安装了更多恶意软件,其中部分特征和AV终结者几乎一样,被判断发现AV终结者。
