RIS2011在“后发制人”方面有待改进
win32.madangel.c 是个感染性病毒(感染除系统目录外的各个分区的.exe) 。
RIS2011 已经能杀此毒,经RIS2011 清除被感染程序中的病毒代码后,这些.exe程序还能正常运行。
测试步骤:
1、关闭所有监控,运行病毒程序。待感染过程完成后,重启。重启后,RIS2011不能正常工作。
2、这个病毒的核心程序是system32目录下的那个serverx.exe。
鉴于此毒禁止windows的注册表编辑器,因此用第三方注册表编辑工具添加一个IFEO劫持项,将病毒程序serverx.exe劫持到一个事先建好的空文件C:\1.exe。
然后,重启。
重启后,RIS2011 才能正常工作。此时执行全盘杀毒,所有被感染文中的病毒代码均可被清除。经RIS2011处理过的被感染程序均可正常运行。
附上这个病毒样本(解压密码:123):
附件: 1.rar (2010-9-7 16:24:53, 39.38 K)
该附件被下载次数 276
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61