教训
由于从来没有遇到过恶意写入文件的木马,也疏于防范,测试时只上single shadow。没有想到,今天测试的木马却让我留下了血的教训……
测试木马过程很顺利。由于是已知木马,只得关掉杀毒软件。这个木马没有什么技术,只会加个启动项。突然,硬盘像着了魔一样狂转,转过去查看“木马辅助查找器”检测到的文件改动——天!!每一个文件夹下都被创建了病毒的副本!
赶紧RESET,可是木马动作过快,已经感染得差不多了.重启后C盘不用管,用瑞星狂扫D盘,扫到病毒8000多个!!(正好我装了VS2005.NET这个4GB的、有很多文件夹的软件。倒霉)
遗憾的是,目前只见到TPF能防止硬盘的恶意读写。可惜是英文的,不改乱设置。今天吃了亏,当然咽不下这口气,(回回开FULL SHADOW大费事。),在网上搜了下,TPF有不少宣称是中文版的,有点不敢用。可又一想,TPF用坏了,GHOST一回最多5分钟,总比这样杀毒好吧!
PS:
值得庆幸的几点:
1、这个病毒没有采用像威金那样的修改可执行文件的方法,因而恢复操作仅仅是杀毒而已。
2、这个病毒是已知病毒,可以用杀毒软件查杀,否则就得……
3、这个病毒是创建它的副本而不是创建垃圾文件。副本是会被杀毒软件查杀的。而随机的垃圾文件(比如占位文件)则不会被查杀,结果……和第2点…………
希望大家在测试木马时不要向我这样学习~~~~
