Mach de Bagua    

掐死一个病毒

最近一阵我的IE在窗口开多的时候就容易冻住, 刚开始倒也没在意，觉得机器有Macfee实时保护再加公司的防火墙，应该没大问题，也许是我写的某个ActiveX控件或者COM组件造成的吧？可是有些网站用FireBird访问还是有点问题，还是要用IE, 后来发展到开三个窗口都会出问题，而且还会跳出来无聊的广告窗口; IE的标题栏右键菜单还多了怪怪的一项。连接到不存在的网站的时候出现的那个缺省的“HTTP 404 Not Found”错误页都被换成了一个广告页，实在是忍无可忍。

下载了Spybot并且线上更新, 确实搜到三四个Spy，杀掉，重启动，问题仍然在。

看来只能手工动手了。查看进程，没有特别可疑的。根据IE右键菜单上多的那个项目的名字，搜索注册表，把相关的部分都删掉。现在右键菜单正常了，可是IE会冻住和404错误页被改变的问题仍然存在。再通过设置host的方式把它可能会访问的一些广告网站的地址重定向到无效地址。不管用，看来问题在本地机器里面了。

到SysInternals上下载了一个NT File Monitor，看看有什么可疑的文件操作。
发现，每隔一秒，iexplore.exe会去访问C:\program files\heartbeep\下面的一个文件一次。如果删掉该文件，在一秒后该文件又自动生成。哈，这谁编的病毒啊，居然用怎么土的方法来确认自己的运行状态呢？要知道磁盘文件操作很费时间的，这样会把我的机器弄得很慢，尤其在开多窗口的时候。

杀掉iexplore.exe的进程，用Norton和Macfee对IE目录进行杀毒，都没有发现病毒。再仔细看了进程列表，应该没有问题了，那么就重装了IE6的SP1, 重起。现在好了，看来这个病毒就是修改了iexplore.exe...... 后悔了，应该留着这个病毒再研究研究或者报告给Network Associate公司的，现在没得玩了。

思考：看来我中了一个写得比较土所以传播也不广的病毒，所以Macfee和Norton都没有它的特征码。但是，话要说回来，现在的反病毒软件对于病毒识别的技术仍然停留在十年前：特征识别。什么时候，反病毒软件能够进化到行为识别呢？至少，对于修改可执行文件，频繁存取文件等等可疑行为可以模仿现在的防火墙软件要求用户干预吧。

顺便说，如果访问新浪新闻又不想看那些Flash的广告，有一个办法，在hosts文件里把ad4.sina.com.cn指向本机就可以了，新浪目前的flash广告都放在这个服务器上。

目前烦恼的是，为了下载流媒体，装了FlashGet 1.6, 这东东也是一个拉慢机器的东西，本来想跟踪出它都访问些什么广告网站，可是好像不止一个啊，没办法禁止了，只好不用就不开了。

posted 2004.08.20 Friday