优盘病毒的尸体，不知有没有危害

5332666

回复 20楼 zhousulin5  的帖子

我自己试了，

样在别的硬盘解压是不会报的，不过扫描应该会报吧？

具体是为什么解压到桌面就会报，解压在别的盘不报偶也不知道啦，

去360版面咨询吧，会有官人回复的。

偶就一热心小白，帮忙上报ESET和360，你问偶太高深的问题偶也不知道怎么回答。

zhousulin5

回复 21楼 5332666  的帖子

既然样本在别的硬盘解压不会报，那么很显然它报的根据就不是样本的特征，而仅仅是特定的路径以及特定的文件格式（例如凡是桌面的LNK文件被修改它都会报，关于这一点你自己可以验证的，在别人的电脑那里复制一个LNK文件到自己的电脑上打包，再到桌面解压），当然这种思路有实用价值，很多流氓软件都会恶意修改桌面上的IE快捷方式，不过，它总是报winrar这类解压工具就很容易误导用户。这类防御思路只能作为辅助手段，因此用这个木马防火墙来检测本论坛的样本，不合适。
我昨天下载到的是7.1版本。我没有安装杀毒。也没有打开云。
昨天后来的经历让我感觉很受伤，折腾了近一个小时我也没能干净的弄掉那个坏东西。看来是那个tmp样本。因为总是在%temp%下面会生成一个172KB大小的tmp文件，名字随机，并且这个文件会插进explorer的模块中（看来除了LNK漏洞之外还存在一个tmp漏洞？我很确定我没有运行过样本），因此无法简单的删除掉它。暴力删除后，如果运行一下其他软件，这个幽灵一般的tmp文件又复活了。无奈之下，恢复了系统。现在仍在担心中，我不知道我的其他分区上的程序是否被感染，也不知道如果被感染有没有杀软能清除它。

zhousulin5

我突然之间有个感觉，360木马防火墙监视的那个用户桌面，是在c盘那里，那个系统默认分配给用户的桌面路径。而不是用户自己定义的桌面路径。如果这样，我昨天的测试中它一直很安静就很好解释了，因为我使用中的这个桌面，真实路径不在c盘。
由此，我想顺便给360提个建议，一些取巧的思路是可行的，只要能保证用户的安全。不过，也要尽量考虑各种可能。比如这个桌面的路径，以及其他一些用户可能会自定义的特殊文件夹的路径，我建议从注册表里读取。