在这里主要记录着发生在zikay的网络和电脑上的大小事件,zikay对IT行业的想法,zikay的爱好,以及其它一些有关zikay的日常琐事。此外,zikay可能还会在此写下他在某个时刻对外界的观点和感想,包括但不限于社会、人生等话题。介于这里的一切内容都源于zikay主观上的思考,希望你在阅读的同时,能够给以有价值的反馈。作为Google的重度使用者,zikay要求本站需要Google帐号登入后评论。欢迎保持关注!

星期日, 六月 03, 2007

半夜三更的木马历险记

今天凌晨3:42:31,浏览一个网站时通过迅雷下载了一个小软件,叫做avplaer,资料如下:
文件名称: avplayer.exe
文件大小: 697.30KB
文件类型: 应用程序
位置: C:\Documents and Settings\Jacky\桌面\3\
URL: http://down.eastrun.net/avplayer.exe
引用页: http://www.towntw.com/down.php?id=23087
任务创建时间: 2007-6-3 3:42:28
任务完成时间: 2007-6-3 3:42:38
下载用时: 00:00:09
平均速度: 77.48KB/s
注释:
下载完成后,随即弹出迅雷的安全中心,对下载文件进行杀毒。几秒钟过后,迅雷提示此文件没有病毒,可正常使用!可是直觉告诉我,这个文件很有可能会有问题!不知道是出于想试验一下自己的感觉,还是因为熬夜时思维的迟钝,我通过迅雷提供的“打开文件”这个快捷按钮,我运行了这个文件!该文件运行以后,随即就没有任何反应了,于是我立刻明白我一定中了某一个木马了!瞬间而来的危险促使我打起精神来迎接挑战,我迅速从疲惫中调整过来,高度集中精力来处理这次危机!
我第一个操作就是删除了这个下载文件,然后打开任务管理器,查找可疑进程,虽然CPU使用率和内存占用率都比较高,但是并没有发现目标。看了一下开始菜单,没有发现异常。马上打开“添加/删除程序”,从开始菜单的“设定程序和访问值”比通过控制面板打开要快至少一个步骤以上,同时打开我的电脑,IBM笔记本没有我非常喜欢的Win键,这使我打开资源管理器比通常情况下要慢一些。从“添加/删除程序”里面看到安装了任何“非法”程序,看来这个木马没有想象中那么可怕,此时我仍然持续关注着任务管理器里的记录变化。接着我已经进入了路径“C:\Program Files”,也没有任何多余的东西出现,点击“修改时间”通过最后修改时间对文件排序以后,找到了!文件夹“Common Files”最晚被修改过,并且是在3点42分以后。点击进入,发现可疑文件“RavStub”,创建时间是3:43:06,可见是运行木马后生成的,删除之,这个时候时间是2007年6月3日, 3:45:30!同时在文件夹“Common Files”里发现了“Logitech”文件夹,也是3点42分后被修改过,进入后看到里面的所有文件都是在之后创建的,其中有可执行程序文件“webinstall”,无法删除该文件夹!试着运行一下,自动出现一个安装进程,同时任务管理器里面出现了“webinstall”的进程,强行关闭,再删除文件“webinstall”成功了!接着再把Logitech”文件夹全部删除掉,这个时候的时间是2007年6月3日, 3:48:17!看起来这个木马并没有对我的电脑产生什么影响,预防起见我在Windows系统文件夹和system32文件看看有没有任何可以文件产生,最后重启电脑,这个时候时间是3:52:42。
电脑启动以后,跳出了文件丢失提示,指的就是我删除的那个文件。打开注册表,在启动项里面没有找到这个值。在系统配置实用程序的启动项里面发现了,取消掉这个启动后重启,第二次启动以后没有跳出这个提示了,但是有一个系统配置实用程序提醒你使用了“有选择启动”的提示,我也很不喜欢这个提示。再去注册表里面查找我启动项里面运行的程序,找到后全部删除,接着在系统配置程序里那个多余的启动就消失了。再次重新启动,一切正常!
我上网包括很多应用,但是却很少病毒泛滥。最近一次记忆深刻的中毒是2005年4月底有意识的同住导致所有可执行程序无法运行,那次案例导致我最后不得不重装系统。去年中正好来到了中国互联网木马病毒垃圾间谍流氓等等恶心的东西泛滥的时期,朋友由于不会使用电脑再加上Windows 2000的平台也使我经常当了老长时间的救火队员,后来这段时间已经很少出现电脑系统安全方面的问题,特别是最近一个月使用Firefox以后使电脑中毒的几率降到了0。
次事故告诫我,以后不要再做类似这种没有必要的动作,下一次可能就没有这么好的运气了!

没有评论:

发表评论