2008年11月24日 星期一

病毒 防不慎防

今天用電腦遇到了一個怪異的狀況
大家應該知道剛裝完新版本IE或是一些微軟的軟體更新完之後
第一次重新啟動電腦會看到一個正在套用新的設定的小視窗出現

對於電腦病毒這方面我也是稍有研究
當然也對每套是面上的防毒軟體有做一些測試以及研究
看到"avp.exe"這個程式出現在更新設定的視窗裡
我不禁懷疑這是甚麼程式
按照檔案名稱看來是防毒軟體"卡巴斯基"的主程式
然而我並沒有安裝卡巴斯基這套防毒軟體
更詭異的是他所在的資料夾是"c:\WINDOWS\system32\drivers"
也就是系統的主目錄底下放置驅動程式的地方
通常除了系統內建的程式或是一些特殊的程式之外
很少應用軟體是在windows的資料夾裡面
更何況c:\WINDOWS\system32\drivers底下幾乎都是以sys為附檔名的檔案
何來"avp.exe"這東西?這樣就讓我更覺得可疑了


更明顯的症狀就出現在"Yahoo!奇摩Messenger"這套聊天程式
一登入程式後就開始出現錯誤
(現在很多病毒都會讓聊天程式如yahoo messenger或是msn出現錯誤或自動關閉)
把他送上VirusTotal檢查各家防毒軟體掃描的結果
看來之前有人傳送過這個檔案進行分析
不過當時只有11套防毒軟體有檢測出惡意程式
我選擇重新分析該檔案
最新的結果出爐.總共有30套防毒軟體能夠正確辨識該病毒
微軟沒多久前說要推出新的免費軟體.功能比之前的OneCare還要簡便(就是更爛的意思)
而光從目前看來微軟連這個"通行已久"的病毒都無法辨識(我知道這個病毒已經不知道是多久以前的事情了)
看來要靠微軟防護電腦的安全實在不太可靠啊!

當然我說這是病毒不是沒有根據
病毒清除前Yahoo!奇摩Messenge無法正常執行
開機會出現一個小視窗提示更新設定
系統時間被改為西元2080年等等的問題...
而且我隱隱約約決的網路變很龜速...(雖然本來就很慢)
清除這個病毒後開機就不會出現那個小視窗了
而且Yahoo!奇摩Messenge可以正常運作
加上送到VirusTotal測試有多達30套防毒軟體檢測為惡意程式
網路上有許多網友遇到過這個病毒.電腦也出現類似的問題
這很顯然的就是一個惡意的程式囉

不過我真的很好奇防毒軟體到底是做甚麼用的
我目前為止用過的防毒軟體在VirusTotal看來都是偵測的到病毒的
然而我中毒時卻沒有一套在當下能偵測出來
只能在針對該檔案或是對系統完整掃描時才掃描的到
可見防毒軟體對於病毒仍然沒有辦法做很好的即時防護
就像你家遭小偷被搞得亂七八糟保全還不知道
等到你要求保全從頭到尾檢查一遍才發現有東西失竊有東西被破壞了
這樣的話需要保全幹麻?一樣的道理.花錢買防毒軟體要幹麻?
(說真的從這樣的觀點看防毒軟體廠商實在應該降價)
不但占用系統資源拖累效能而且沒辦法達到及時防護的目的
乾脆就不需要防毒軟體.最多也只需要"掃毒軟體"就夠了.是不是?
(也許有些人不知道這兩者的差別.掃毒軟體只能做掃描沒辦法做即時監控)

話說到這又在罵防毒軟體廠商了
每次提到病毒總覺得各家廠商很飯桶
病毒都是靠各位網友自己解決的
防毒軟體就算能偵測到病毒也未必有辦法刪除
電腦的安全防護最後還是只能靠自己
恩...無言啊...


PS:
當然我不是第一次處理這病毒
對於這類病毒處理次數之多不在話下
認得的病毒名稱也是多的可以
今天一開機就知道中毒了
不過還是跟大家分享一下處理病毒的經驗
供網友們參考與指教
對於病毒的處理或是如何判斷病毒或多或少可能有點幫助

這裡附上VirusTotal的測試結果
VirusTotal是一個提供各家掃毒引擎幫網友掃描檔案的網站
在舊的部落格(大約於一年半前已停止更新)有介紹過
若各位網友有需要掃描的可疑檔案可以上傳到這邊做檢測
(我寫病毒時也是將自己的病毒送到這邊測試的唷^^...不過我沒有散布出去就是了...純粹是自己好玩做的)

沒有留言:

張貼留言