反病毒之不小心阴沟里翻船

  • 来源:《个人电脑》实验室 作者:吴敌
  • 发布日期:2007-09-04
  • 关键词:

本人可以骄傲的说,从94年开始拥有386至今,从未遭到恶性病毒袭击。自己的电脑上感染的第一个病毒,叫做1471颂歌,就是到了某一天,就开始用PC喇叭放东方红。当时没声卡,就一个能发出嘀嘀嘀的PC小喇叭,能用汇编写出东方红来,也实属不易。当时我特别佩服这个病毒的作者,对他的敬仰就像我崇拜智冠那些用PC喇叭做出真人语音的哥们一样。

后来,我就基本没中过什么特别夸张的东西了。当年那些恶性的,像是反复用垃圾数据填充硬盘的黑色星期五之类的……我都没见过。近期像丢丢他们中的AV终结者我也没碰上。虽说不是反病毒专家吧,但好歹也算是一个小心谨慎的主,自己的PC很少出问题。但是,这个月我败了。工作用笔记本1周之内连续两次中招,还都是同一种病毒。这种病毒叫做小浩。会中招,是因为要做反病毒专题,这个活病毒,是我自己下载的病毒样本。

小浩这孩子,毕竟年纪还小,才15岁。说技术,还是懂那么点的,不过"小浩病毒"本身并不算什么太恶性的病毒,甚至都无法和当年的黑色星期五相比。这病毒编写的非常贫弱,自身没有保护能力,就算不用杀毒软件,也可以清理的很干净。只要手快就可以。如果不是因为Windows Vista,我也不会中招……

小浩病毒发作后,会替换所有可执行文件,属于摧毁式的,不可恢复。这点上和熊猫烧香很像。实际上写这个功能并不复杂,一个全局检索、替换,就可以完成。它隐藏自己的方式非常可笑,在任一盘符的根目录下,创建一个xiaohao.exe,然后设置为隐藏属性,同时创建一个autorun.inf,这样做主要是针对U盘的,用U盘来感染更多的机器。至于说对于系统来说,它会在注册表里加个自动运行,不过如果它把你系统中的exe都作了,系统也就起不来了,起不来系统什么都run不了。除了这些外,它还会检索硬盘中的html文件,上面挂一条代码,把这个html指向他自己那个页面,上面也是病毒。

清除起来很简单,用cmd窗口,attrib一下,去掉autorun和xiaohao的只读、隐藏属性,删除,就ok。然后html文件删除,或是不管,用杀毒软件自行清理就成。至于说注册表……没必要恢复,因为你也不知道它删了你多少exe,也就不知道当前操作系统是否还完整,索性重新安装。而且就算不恢复注册表,你把它文件都删了,它也不能自启动了。

总体来说,xiaohao能造成的损失就是让你重新装一次操作系统和应用软件,耽误你点时间,你的数据是不会丢的。但这也很烦闷了,十分恶心。

下面说说Windows Vista是怎么让我中招的。Windows Vista有个功能,就是支持Live Disc格式刻录,这种刻录方式的好处是随时可以写入文件,比较方便,但这个格式有可能在Windows XP下无法读取。我这次测试反病毒软件,用的操作系统是Windows Vista。在没有安装反病毒软件的情况下,我将病毒样本压缩包拷贝到测试平台上,然后用一张CD进行样本刻录,刻录的都是RAR文件,怕的就是一不小心点了什么的。

到这,都没问题。问题出在哪呢?问题出在我装好了反病毒软件(还是一个纯主动防御软件),把小浩解压缩出来,双击运行……这也没问题,问题出在我没有把光驱中的CD-R拿出来。小浩只干掉了一个快捷方式就被终止,但是……这个主动防御软件没能阻止小浩在光盘上做autorun和存病毒。因为!Live Disc可以随时写入,对于病毒来说,这是的光盘就像U盘一样可以操作,于是乎就写进去了;又因为,CD-R是一次写入不可改写,对于反病毒软件来说,就算是想删除也删除不掉(如果当时用CD-RW可能就没事了)。

于是乎,我就得到了一张随时处于激活状态的病毒CD……当时,我发现这个问题了。不过一想,反正也不再别的机器上读这个东西,问题不大。但后来这张盘在Vista下认不出来,不让读了。而我又没有样本备份(刻了盘,我就把原始文件删除了,为了安全)。于是乎,我就把它放进了自己的笔记本光驱里,准备复制病毒样本的RAR文件。然后就弹出了一个对话框(我考,不是说XP下可能不能读去嘛?怎么Vista不能读,XP倒能了?)问我是不是要自动运行"xiaohao.exe",我心想,SB病毒,这也太可笑了,我怎么会执行这样的操作,随手就把对话框给关了。然后,双击光盘盘符……我必须承认,双击光盘这是一个SB操作,因为有Autorun的情况下,双击默认是执行光盘Autorun的……就这样,我中招了。但当时手很快,及时停掉了进程,清理了硬盘。然后,为了操作系统的完整性,我重新安装了操作系统。当然,我也把病毒样本备份出来了。第二次,情况和这次差不多,不过这次似乎是系统策略组有问题,光盘直接自动运行了。结果就是重复了一次安装操作系统的操作。

经过这件事……我深刻的体会到,面对病毒,真是一点都马虎不得。还有这个Windows Vista的Live Disc模式,轻易别用。同时,一定要关闭系统策略组里面的自动运行,切记。现在庆幸的是小浩病毒的简陋,如果它是一个破坏性更强、隐蔽性更好的病毒,我可能会损失6年的工作数据,那样一来……

[an error occurred while processing this directive]