专家谈反击AV终结者病毒的“麻雀战法”

您现在的位置：猫头鹰病毒资讯网 >> 系统安全 >> 系统安全 >> 文章正文

专家谈反击AV终结者病毒的“麻雀战法”

作者：佚名文章来源：网络收集点击数：更新时间：2007-9-28

金山联盟百度打造中国互联网

国内知名的信息网络安全厂商金山联手全球最大的中文搜索引擎百度共同推出一款基于WEB的零客户端（网页方式）的安全解决方案——“百度……

金山联盟百度打造中国互联网第一免费杀毒平台

Nod32获得Avc本年度最佳反病毒产品殊荣

常见手机病毒分析

PPLive携手ESET NOD32发布免费版杀毒防毒软件

卡巴斯基7.0简体中文版上市

AV终结者闹了一个多月了，很多朋友已经知道金山的AV终结者专杀可以恢复杀毒软件的功能，再升级杀毒软件就能解决很多问题。不管网民是不是毒霸的用户，毒霸的程序能为网民解决问题，是我们最高兴的事情了。

　　现在我们观察到一个新的动向：AV终结者病毒的数量更新很快，但又各具个性，一种病毒，也不去大面积的入侵很多机器，而是在小范围传播。但因为这些种群很多，总体来讲，还是给网民带来很大的麻烦。也给杀毒软件厂商带来挑战——收集AV终结者全部样本变得更加困难。

　　另一个动向：AV终结者病毒实际上是个木马下载器，既然是下载器，可以下载木马，同样可以用来更新自身。我们发现，AV终结者病毒更新的速度很快，一旦作者发现程序自身或下载的木马可以被杀毒软件查到，就会发布更新的程序。而杀毒厂商的数量是远少于病毒工作室的；写病毒的人，远多于写杀毒软件的人；同样，传播病毒的人，也远比卖杀毒软件的人多。

　　这种战法，太象抗战中八路军的“麻雀战”了——到处是小规模的战斗，现在病毒传播者用这一招来对抗杀毒软件。

　　我们如何反击呢？

　　一个更完善的样本收集系统非常重要，我们的清理专家2.0就集成了样本收集的功能，网民只需要把未知加载项提交，就完成了样本上报的过程。

　　网民怎么对付？因为总会有网民会被漏网的病毒击中。

　　杀毒的方法，我们已经讨论了很多了，专杀工具恢复杀毒软件的功能，再使用杀毒软件把病毒解决掉。对于新病毒，按照自动分析系统的提示，删除掉。网民需要更关注杀毒软件的升级。

　　因为这类病毒自身是靠激活自动播放功能传播的，很多网友遇到搞不定的病毒，就重装，操作习惯也不太好，总是一次次双击图标找到目标程序或文档。这样就会感觉到——天啦，这是什么病毒，格式化都搞不定，难道要我低格硬盘。

　　我们应该从阻止自动播放入手控制病毒的传播。自动播放也是有两个情况，一是配置各磁盘或移动硬盘、存储卡、U盘根目录下的autorun.inf；另一种是修改注册表键。我们用不同的方法来处理。

　　第一，我们说的最多的，最简单易用。使用组策略编辑器，禁止自动播放。

　　步骤为：运行gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，双击禁用自动播放，选择所有驱动器，确定后重启电脑。

　　此方法不适合Winxp Hom版，原因是比尔大叔太抠门了，在XP HOME版中把组策略编辑器扣留了。这时，可以使用金山毒霸来解决。步骤：双击右下角红色盾牌，点击工具菜单→综合设置→其它设置，选中“禁止硬盘或U盘自动运行功能”，确定后重启。WINXP的两个版本，都可以使用这个方法，建议所有毒霸的用户采用。

　　以上操作，可以让本地磁盘、U盘、移动硬盘、存储卡上autorun.inf配置完全无效。强烈建议所有新装操作系统的用户，立即禁止自动播放功能，然后再访问其它分区或移动存储设备。

　　第二，部分病毒直接修改了注册表，使上述操作也无法解决，你需要手动修改注册表的相应键来修复

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

　　这里定义了右键菜单，把与病毒程序引用相关的子键删除。

　　HKEY_CLASSES_ROOT\Drive\shell

　　把与病毒相关的注册键删除。

　　也可以根据上面这两个键中引用的病毒文件路径，找到这些病毒程序，将其提交给杀毒软件厂商。

文章录入：菜猫责任编辑：菜猫

上一篇文章： 2007十大Web安全漏洞跨站脚本攻击居首位

下一篇文章：杀毒软件中主动防御新技术全面介绍

热点文章