11
2009
04

杀毒软件搞搞马甲也很有必要——瑞星国际版应用实例

    今天遇到一个很特别的案例,写出来和大家分享一下。

    两台电脑,一台联网,一台没有联网。联网的那台安装有正版瑞星和瑞星卡卡助手,没联网的只安装有瑞星卡卡助手。 
    这两天联网机的瑞星的小绿伞突然没有了!而且打不开瑞星,卡卡助手也打不开。基本上确定是中毒无疑。因为平时还用优盘和移动硬盘在两台机子中间复制文件,再检查另台机子,卡卡助手也打不开了。给瑞星主文件Rav.exe改名后可以打开瑞星,但很快就被关闭。初步确定这个病毒具备优盘传播能力以及映像劫持能力,病毒还可以通过获取窗口标题来关闭杀毒软件。

    初步实验,重新安装瑞星。一到窗口标题有“瑞星”字样的地方,窗口就被整个关闭。就算没有被关闭,瑞星也不能用,瑞星的服务被自动卸载,改名运行瑞星,无法升级,而且无法顺利进行扫描。 
    改名运行瑞星卡卡助手,无法顺利检测木马和流氓软件,似乎无线循环了……郁闷。瑞星和卡卡助手都被病毒反制了。想换换别的杀毒软件和工具,一想估计是没戏,既然可以关闭瑞星,肯定也会关闭其他流行的杀毒软件。估计是AV终结者之类的病毒。

    正在我踌躇无奈的时候,我想到瑞星前段时间发布英文版瑞星卡卡助手“Rising PC Doctor”…英文版的卡卡助手从标题到内容都是英文,不知道会不会被病毒阻止运行呢? 
    我从瑞星国际版网页下载了Rising PC Doctor。安装,没有被拦截,但不能运行,改名后终于打开了英文版瑞星卡卡助手。 
    
杀毒软件搞搞马甲也很有必要——瑞星国际版应用实例

    由于标题内再没有“瑞星”字样,卡卡助手这次顺利清理掉了一些插件和木马。看来病毒没有把“Rising”作为屏蔽对象。重新启动后瑞星还是打不开,再次打开卡卡助手,又发现木马死而复生。看来必须要全面查毒。 
    于是赶紧找来最近才发布的瑞星2009国际版,HOHO,果然安装过程也很顺利,没有被阻断,而且在安装时就可以清理内存中的病毒。 
杀毒软件搞搞马甲也很有必要——瑞星国际版应用实例

    重新启动后打开瑞星,顺利升级,全面查毒。果然是AV终结者! 
    大概20分钟后,全盘检查出6个病毒文件,再用卡卡助手清理掉每个盘下隐藏的Autorun.inf和EVA.vbs,OK~终于世界清静了。

    这次又学了一招~对付拦截“瑞星”标题的病毒,我改用瑞星国际版。呵呵!看来一个马甲有时候还是相当有必要啊!

    附:瑞星2009国际版免费版主页: 
    
http://www.freerav.com/ 
    瑞星卡卡助手英文版主页: 
    
http://www.rising-global.com/products/rising-pc-doctor.html


« 上一篇 下一篇 »

评论列表:

1.大P孩  2009-05-07 01:21:02 回复该评论
我晕啊~看出来RISING的监控不是一般的高级啊!
广西省梧州市

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

召唤伊斯特瓦尔