最近邮箱里面收到一些与远控木马PaiN有关的求救信,研究了该病毒,发现它竟然能拒绝在虚拟机中运行,这样很难发现它的踪迹,真的很狡猾。中了该病毒,电脑会有以下症状:1. 各种账号和密码被盗。2.杀毒软件莫名其妙地被关闭。3. 系统中的软件被删除、显示器分辨率被修改。4.上网速度很慢。
该病毒的清除方法如下。
第一步:首先运行安全辅助工具IceSword(下载地址:http://www.mydown.com/soft/utilitie/system/76/428076.shtml)并点击列表中的“进程”按钮,接着在进程列表中选择进程iexplore.exe后,点击右键选择菜单中的“结束进程”命令即可结束该进程。这样木马程序就失去了与黑客的联系。
第二步:运行《金山清理专家》(下载地址:http://www.mydown.com/soft/utilitie/system/241/437241.shtml),点击“在线系统诊断”中的“启动项管理”,会发现有两个标明未知的加载项(见图),选中这些加载项后右键点击鼠标,在弹出的窗口选择“修复该项”即可。再切换到“浏览器修复”,同样会发现一个标明未知的ActiveX控件,右键点击选择“清除选项”即可。
第三步:点击IceSword左侧工具栏中的“文件”按钮,在系统盘的Windows目录中找到木马程序的主文件server.exe并删除。运行系统修复工具SREng(下载地址:http://www.mydown.com/soft/utilitie/systems/327/440327.shtml),选择“系统修复”中的“高强修复”标签,直接点击“修复安全模式”按钮,就可以修复被木马破坏的系统安全模式。
最后重新安装杀毒软件并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。
话题:主动防御功能为什么会失效?
现在很多杀毒软件都带有主动防御功能,可安装它们后还是会“不知不觉”地中病毒,主动防御功能为什么会失效呢?主动防御是个防范病毒的好东东,但并不是无懈可击,在面对驱动级病毒时就可能会失效。下面就听小编给大家详细讲解其中的奥秘。
提到主动防御,就要说到SSDT。因为主动防御是依靠行为动作来判断文件是否为恶意程序的,而要截获文件的所有动作,就只有在系统的SSDT中才可以完成。
提示:SSDT的中文意思是系统服务描述符表。SSDT的作用就是按照默认的规则,将应用程序的操作指令转化成系统内核所理解的信息并进行处理。当系统层将信息处理完成以后,再由SSDT将处理信息转换成最终的结果。SSDT就是操作层和系统层的“翻译”。
杀毒软件的主动防御修改了SSDT表中的内容,相当于在SSDT中安装了一个“监听器”。这个“监听器”发现传输的信息中可能存在危害系统安全的行为时,就会先将这些行为拦截,并悄悄地告诉杀毒软件的主动防御。然后主动防御根据自身的规则,对这个行为的安全性进行判断。如果行为是安全的,就放行,反之就进行拦截。
为了对付主动防御,驱动级病毒诞生了。驱动级病毒含有一个驱动文件,当驱动文件在安装成功后,就会将SSDT表恢复到系统的默认状态。这时SSDT中就没有“监听器”了,杀毒软件就失去了“千里眼,顺风耳”,主动防御功能最终失效也就是必然的了。
提示:只有驱动文件才可以对SSDT的内容进行操作。
