| 引用: |
【newcenturymoon的贴子】
你用瑞星试试 看看他是不是能修复受损的exe ...
……………… |
瑞星也好,其他杀软也好,各种专杀也好,都一句话——得到样本,更新病毒库,能够查到,即能清除(卡巴据说还是有直接删除感染exe文件的情况),反之,则不行。
农夫等民间人士写的专杀之所以很多人用,我们也推荐,主要原因是:只要拿到了新变种样本,可以在最快的时间内更新病毒定义使专杀可以查杀,这个时间之少,即使是保守估计也一般在半小时以内。
所以,这不是杀软的bug,而是杀软厂商作为一个公司,面对众多用户样本上报,更新整个杀软的病毒库达不到那么快。
这也是农夫的专杀的优势,因为有论坛上的大家参与样本的搜集,这是一条“绿色通道”,中毒者交给我们新样本,我们马上加库,测试,然后更新,这样中毒者马上可以得到可用的专杀。
借阳光的帖子,再说一点,熊猫烧香为什么难杀:
病毒感染可执行文件,如果不能清除exe文件中被加入的病毒代码,则要么查杀不净(一运行被感染的可执行文件,又中毒),要么整个被感染文件报废,这都不是好的结果(del *.exe的方法,一个词形容,玉石俱焚)
病毒通过局域网共享、U盘、网页挂马等方式传播(包括修改本机网页文件,在其中加上连到病毒网页的iframe跳转)。如果不做好安全防护(包括打全系统和第三方软件的补丁,关闭不必要的共享服务,为本机的用户设置强壮的密码,注意U盘的安全使用等),极易再度感染。
有很多用户,昨天用杀软杀了毒,都已经杀不出有毒了,今天一插网线,等不了一两小时,杀软又查出毒来。于是说是杀软查杀不净的问题,其实很大程度上是重复感染的问题。
所以,真正杀掉熊猫烧香病毒,与其他一般病毒木马相比,关键是:
第一,找到目前能够查杀所中变种并能真正修复受感染文件的杀软或专杀,如果目前所找到的杀软或专杀均不能立即查杀,那么应该上报病毒样本(农夫的专杀在得到样本后反应速度方面的明显优势,是我们一直推荐的重要原因之一)。
注意,对于这种感染型的病毒(只要是添加代码而不是覆盖修改型),如果没有可以修复被感染文件的程序(无论是整个杀毒软件还是专杀),那么所谓“手工”就没有真正的可操作性,而把受感染文件通通delete的作法,绝不能说是“战胜病毒”,只不过是“同归于尽”而已。所有没有考虑这个问题的“速杀法”,都不是我们应该提倡的方法。这应该也是楼主所发帖子遭到冷遇的原因。
而用户在这方面的困难就是:他们找不到需要的东西,或者根本就不知道有这样的东西。
昨天我的表姐在电话中跟我说起,问我知不知道有个熊猫烧香病毒,说他们公司局域网内中了不少,我大笑的同时也真觉得可悲,我让她告诉负责技术的同事,瑞星等杀软厂商甚至农夫等民间人士都有这个病毒的专杀在互联网上发布。今天她告诉我,她这么一说,同事才反应过来,今天才去找专杀。
有时杀软和专杀都不能查杀新变种,用户们就更急了,有抱怨的,有一横下心格盘的,有哭爹喊娘的。但是还是那么一句话,没有样本,什么都是白说。既然杀软或专杀查杀不了,用户就应该上报病毒样本,让杀软或专杀进行更新,而不是在那里坐等着杀软自己能查杀了。对这一点的心态把握上,很多用户做得不够积极主动。
第二,杜绝重复感染
蠕虫的根本特征就是通过某些途径自动传播。感染可执行文件,通过局域网共享或邮件,或是移动存储设备,这些都是传播途径(这也是sxs.exe的病毒名中也有个worm的原因,它可以通过U盘传播)。不切断这些传播途径,就永远存在重复感染的问题,而且重复感染概率远远高过于其他病毒木马。
在此提一下现在有些人说的“建立同名文件夹”,“用批处理免疫”等等手法。再次提醒,完成感染可执行文件的操作的,是进入系统的原始样本的进程,而并非它再在电脑中创建的病毒主文件,所以在感染型病毒面前,只针对文件名的手段从来都不可能真正杜绝其感染。
真正的“免疫”,只能从做好自身防护,切断其感染途径来着手。
用户中病毒,很多情况下是安全防护措施和意识没有做好。没有解决这个问题,病毒就永远不会远离你,只不过对于威金和熊猫烧香这样的病毒,这个问题比较突出而已。
只举一例,中国有多少用户会每月关注微软的更新并为自己的系统打全补丁?!不要以“我用的是盗版系统”为借口,即使不是真正的正版,并不表示一定打不了补丁。没打远程执行代码漏洞的补丁,一个加密的利用这种漏洞下载并运行病毒的网页脚本就可能让你中毒。
“满城尽烧熊猫香”的场面下,“武汉男生”用另一种方式告诉我们,中国网民的网络安全和反病毒的基础知识和意识必须提高。
