考验SSM的性能
版本:SSM 2.0.6.569
木马样本:taskmg.exe。直到今天,卡巴斯基仍然不报这个木马,所以,我也不知道它叫什么名字。此马的简介见
http://forum.ikaka.com/topic.asp?board=28&artid=8043219实验步骤:
1、确认SSM为“自动加载”,关闭之。
2、关闭所有其它安全软件,运行taskmg.exe。
3、重启系统。
实验结果:
1、重启系统后,SSM报告,资源管理器要运行C:\windows\system32\taskmg.exe【图1】。新手有可能不理解这是怎么回事,点击“允许”。
2、即使上一步错误点击了“允许”,下一步,SSM继续报告C:\windows\system32\taskmg.exe试图修改explorer.exe(资源管理器)的内存!正常程序不会干这种事。遇到SSM这样的报警,务必点击“阻止此操作(始终)”、“OK”【图2】。
3、上面两步完成后,系统无异常。SSM也安静下来。
4、看看木马是否真被废掉了。尝试删除该木马的文件【图3】。图3证实:此马确实被SSM废了。否则,那个dll文件需要重启系统后才能删除(正是这个dll插入所有系统核心进程)。
小结:尽管这个木马比较刁钻,比较难缠,即使在安装SSM以前就中了,安装SSM后,依然可以用SSM搞掂它。
图1
