关于网上说 IceLight 是病毒的说法



引用:
对于这些谬论我本来不想花时间去反驳, 但是今天我搜索红色警戒3时经无意发现了一片帖子 和.

原文地址分别是:

http://www.club0753.com/bbs/thread-316-1-1.html

http://baike.360.cn/4024037/13320250.html


以下 IceLight 简称 IL.

开篇点题, icyboy 有说过本软件的驱动未经检查即访问地址, 若地址无效, 则蓝屏.

地址:http://hi.baidu.com/iceboy_/blog ... e3ce7d020881b4.html

显然, 驱动的一个失误, 详细请直接看文章.(此 BUG 后版本已经更正), 但是被当作病毒特征来说未免天方夜谭.

上次见到有个评论:你这东西改改 wsyscheck 就拿来发布, 你还要不要脸?

此问题我不多说相信大家很明白.iceboy 可以证明这一点.

而先提到的两篇共说 IL 是病毒, 无法结束, "卡巴不能启动了。而且图标被莫名的修改了"

我在这里郑重声明, IL 除了安装驱动外并没有修改注册表任何地方或在你的系统中写入任何文件.

360 论坛上一帖子说 IL 有修改 ntoskxxx.exe 的迹象, 这是由于 inline-hook 导致的.也只是在内存中修改, 并没有改动文件.

至于不能结束 IL, 是自我保护的原因, 没有自我保护, 万一病毒结束了它, 你能怎么使用呢?

还有人说结束它程序自己会被结束, 我这样做, 你们设想, 病毒结束它, 就等于结束病毒本身, 这样不好吗?(结束狙剑(SnipeSword)相同效果, IL 的 PsLookupthreadxxxxxxid 钩子个狙剑有冲突)

文件无法删除, 这是 IL DKOM 中修改某些地方导致的.不过重启后即可删除.重启会更改卡巴斯基图标, 破坏安全模式, 这些荒唐的言论我不想做过多解释. 那只会是无聊的病毒的所作所为. 我以前更新快, 就是那几天有时间, 几乎天天更新, 竟然有人说这是在躲避杀毒软件的查杀. 我要是真的想做病毒搞破坏, 我何苦一直去更新?我何不搞一个简单的, 捆绑, 或怎么招, 带上一个病毒, 直接发布? 再说我做病毒为了什么? 虚荣? 金钱? 如果真是这样, 那我做人未免太失败了.

你要是不放心, 有两款软件你可能会用的上, [RegMon], [FileMon].这两个东西可以监视注册表及文件改动, 相信它们可以帮助解开你的疑惑.

IceLight 他没有冰刃稳定, 没有狙剑强, 你不想用你就别提起它, 别碰它!!!



网上大批帖子说IceLight 在炒作。算啦这垃圾软件我下次再也不敢用了,没人帮忙重装系统完事。

好一个“IceLight 他没有冰刃稳定, 没有狙剑强, 你不想用你就别提起它, 别碰它!!! ”

中国现在开始讲人权,我亲自上当的经历已经告诉我这个是垃圾,这个软件就是病毒。免费?更新速度快?一天更新几个版本?谁相信,泡360这么久明白一个道理:病毒更新比杀软快,才能逃脱杀软。。

IceSword 冰刃名字很响亮,这个就叫IceLight,服。真服了模仿能力超强。让我想起有个病毒进程名是scch0st.exe一样!

“上次见到有个评论:你这东西改改 wsyscheck 就拿来发布, 你还要不要脸?”楼主要炒作没什么问题,但是你人身攻击人家是炒作的必要?

“有修改 ntoskxxx.exe 的迹象, 这是由于 inline-hook 导致的.也只是在内存中修改, 并没有改动文件.”

强,已经承认修改,却是在内存中,那我能不能这样说,IceLight在内存中破坏系统病毒就不叫病毒了。那杀毒软件的内存杀毒是用来干什么的?

“至于不能结束 IL, 是自我保护的原因, 没有自我保护, 万一病毒结束了它, 你能怎么使用呢?”谁说的IceLight不是杀软也不能替代杀软,到了这个时候又说怕病毒结束它,自己打自己嘴巴真响!

“文件无法删除, 这是 IL DKOM 中修改某些地方导致的.不过重启后即可删除.重启会更改卡巴斯基图标, 破坏安全模式, 这些荒唐的言论我不想做过多解释. ”又一次承认对系统在用户不知道情况下存在修改。大多病毒一般行径都是无法删除,重启自己就删除了,然后破坏安全模式,“不做过多解释”因为你根本无法解释这个病毒为什么跟其他破坏病毒一样具有相同的罪恶行径。

“你要是不放心, 有两款软件你可能会用的上, [RegMon], [FileMon].这两个东西可以监视注册表及文件改动, 相信它们可以帮助解开你的疑惑.”不错,都知道这两款软件确实是做这个用的,前面自己又说不写注册表,不写硬盘,在内存中更改,又自己打自己嘴巴,既然要我们用这两款软件检测,肯定是做了相关处理,我只希望楼主说说为什么瑞星报风险,卡巴报高度病毒可疑行为,诺顿下无法运行?为什么把这个IceLight样本发送到VB安全网会说是一个新病毒?




不过以我的经验看确实是病毒 我今天稍稍研究了

释放驱动 无法结束 向远程发送数据包

基本认定是个后门程序了。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; TheWorld)