kv2008阻断重复感染路径及测试
早就怀疑,KV悄悄的加入了这一功能。因为现在的病毒共享现象十分严重,层出不穷的下载器后面就是一堆大同小异的木马,就看谁做的下载器NB,免杀、映象劫持、垃圾消息。。。连哄带骗带霸蛮就领着一帮喽罗闯进你家了~~~其实,把衣服脱了,长的好象都差不多,有的连名字都一样。。。好容易赶走一拨儿,过两天又来一拨儿,人数不等,一瞧,换衣服了,长的好象都差不多,有的连名字都一样。。。
开始测试:哪里的马多?网页,可我的IE7补丁打齐了,让它来都来不了。找一0补丁的IE6,关闭先装好的KV08(预升级版),而且设置为开机不启动。再找一毒网进去,硬盘开始响了,马来了,估计放完了后再重启电脑,给它们充分的运行条件~~~
重启后电脑无任何异常,速度也没慢什么,但一检查才发现真实暗流涌动哈,还是打开KV来检查(现在基本不用担心中毒后KV打不开,这点让人放心)。
1、KV进程查看器显示了一个隐藏的QQgame和两个开始没有的calc。exe、wdfmgr。exe进程。再点“分析系统”按钮KV的进程查看器出现错误被关闭(这个好象不是病毒造成的,是预升级版的BUG)补充:这是病毒造成的,不是BUG
2、KV未知病毒分析
3、系统诊断(省略病毒创建的一个浏览器加载项截图及因预升级版BUG导致无法扫描隐藏文件和注册表)
4、共享管理(我关了的,中毒后打开了,呵呵)
5病毒创建的文件,系统、隐藏啥属性都有(懒的全截,省略若干)
6.用SRENG看看(冰刃成病人了),映象劫持一片,但其中有一项要仔细看,呵呵,还改了win。ini文件
接下来在设置里打开开机启动监控选项后重启电脑,KV开始报毒,注意提示里的"已经禁止存取此文件"~~打开系统盘后,KV文件监视不停发现病毒
因有rootkit系病毒,重启用bootscan扫一遍,进入桌面后用KV的未知工具扫描就只剩下10个可疑了,加入样本库杀完后病毒就在系统文件夹内剩几个配置类文件了,删除后再用KV的系统诊断把残留的注册表项修复(删除),用备份的注册表或手动删除(比较累)映象劫持就OK了~~
病毒创建不了任何文件。。。。
您觉得这个功能怎么样呢?如果结合可升级的黑名单,杀软的新方向
后记:1、安全助手出现安装控件的提示应该是病毒造成的,因为无毒时不会出现。
2、这是我第二次遇到破坏KV内置工具的病毒,说明了KV内置工具的强大和实用性,也给KV的技术人员提了个醒儿,病毒瞄上咱家里的了~~
