墨者病毒追踪助手 新技术：行为追溯

zhengyu

转自：Enet
　09新年刚到，互联网安全环境就异常严峻。近日笔者从墨者官网站看到病毒追踪助手拦截到一款名为“疯狗下载器”的恶性木马，一旦用户系统“中招”，将出现系统运行缓慢、假死、掉线等现象，甚至同一台电脑会出现不同的症状。

　　据笔者向官方了解，墨者病毒追踪助手作为主流杀毒软件的最佳拍档属于一款查杀类安全辅助软件，它通过行为追溯来跟踪分析文件的创建及进程的创建，可以将杀毒软件无法彻底清除的各类顽固病毒连根拔起，将根源及所释放的文件彻底铲除。如图：

　　

(墨者病毒追踪助手主界面)

　　以最新截获的“疯狗下载器”而言，杀毒软件是无法彻底清除的，笔者亲自测试了三款知名杀毒软件，测试结果如下：

　　测试样本：下载器木马

　　病毒名称：Trojan. Crazydog

　　病毒中文名：疯狗下载器

　　病毒类型：木马

　　危险级别：★★★★★

　　影响平台：Win9X/2000/XP/NT/Me

　　病毒描述：此款恶性木马因具有机器狗穿透还原的功能及下载多种恶意木马，故被命名为“疯狗下载器”。该木马变种繁多，多表现为杀毒软件无法正常运行。主要危害是充当木马下载器，与AV终结者病毒相似，通过修改注册表让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑系统带来严重的威胁和隐患。

　　首先我们用的是360安全卫士中的NOD32扫描该病毒，结果在删除时出错。

　　

（Nod32发现“疯狗下载器”）

　　

（Nod32却无法删除）同样使用卡巴斯基扫描“疯狗下载器”样本，结果卡巴不停的拦截该病毒，但最终无法停止该病毒的运行。

　
(拦截“疯狗下载器”)　

　　
（重启后仍无法删除“疯狗下载器”）
现在，笔者用墨者公司最新推出的新一代病毒追踪助手来分析查找“疯狗下载器”以及由该木马所释放的文件列表。首先用户可以看到一个完整的病毒创建过程——病毒所释放的文件以及关系图表（如下图）

　　
（墨者病毒追踪助手追踪病毒根源及所释放的文件）

　　
（墨者病毒追踪助手重启删除提示）


　　当用户选择“是”之后进入墨者病毒追踪助手的安全删除环境准备界面：

　
(墨者病毒追踪助手删除环境　

　　用户在点击“立即删除”后，系统会重启并自动选择墨者安全专家删除工具。

　　
（墨者病毒追踪助手安全删除工具）

　　
（墨者病毒追踪助手删除病毒过程）

　　
（墨者病毒追踪助手成功删除病毒根源及所释放的文件）


　　在整个删除过程中，电脑将自动重启，用户此时无需任何操作，简单安全。至此墨者病毒追踪助手彻底删除了“疯狗下载器”及其所释放的文件。

　　最后，笔者提醒广大网民：

　　经常修复系统漏洞及第三方软件漏洞，保持软件的及时更新，可有效免疫防护类似于“疯狗下载器”这样的新型恶意木马病毒，防止系统被破坏，账号密码被盗取！

[ 本帖最后由 1x2l 于 2009-1-15 16:15 编辑 ]

tawny2008

图片全是叉烧包

156200

没图片不爽

jiangchuan

貌似360和卡卡也是每天都放出这种消息

瑞星安全工程师提醒公众
近期XX病毒泛滥 后果严重
建议大家 打系统补丁 升级瑞星