扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、测试环境
测试环境:VMware虚拟机
平台:Windows 2000 SP4 已打所有补丁
用到的安全辅助软件:金山清理专家2.5 冰刃1.22 Eqsecure 4.0 pro
测试之前,本机已用金山清理专家2.5漏洞修复功能安装了全部补丁,机器中没有病毒、木马、恶意软件,暂时关闭了杀毒软件的监控功能,以更好体现清理专家结合手工杀毒的魅力。
二、中毒症状
运行一个网上所谓的“个性化条形码生成软件”,如图
双击后,发现硬盘闪了几秒钟,随后该文件自动消失。整个过程见下面的视频。(视频在最后的附件中)
随后电脑反应变慢,操作迟钝。ie首页被改(后面会进一步提到),种种迹象,怀疑这个文件是一个恶意文件,打开清理专家,进行恶意软件查杀,(注,我一共进行扫描过两次,相隔大约2分钟,第一次结果仅有mayababy downloader一项恶意软件,而第二次恶意软件增加到8项,下图是第二次扫描结果。)初步判断,这是一个下载者病毒,在后台下载木马程序,盗取用户帐号等信息。
同时,还强制安装了部分广告软件,弹出广告窗口,见清理专家的查杀情况。
打开ie浏览器,发现首页已被篡改,并强行安装了某工具条。
高级用户,可以打开我的电脑右键-查看系统服务,发现,在最后一行,多了一项,(截图截得不太好,将就一下^_^)
细心的用户一定会发现,所有的服务名称都是英文的,而仅仅这项服务名称为“网络服务”,虽然名字起得像模像样,然而还是逃脱不了我们的火眼金睛。该项服务既没有描述,又是中文名称,打开看下属性,对应的文件是Mayababymain.exe。
mayababy看似眼熟,这不是清理专家刚刚查出的恶意软件嘛。还藏到系统服务里来了,并且开机自动启动。
再来看看进程,看似好像都安全。
可是加载的dll呢,就不是那么回事了哦!有很多可疑的dll加入了系统进程。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。