卡巴斯基是如何病毒被秒杀的（转）

lacmiu

卡巴斯基反病毒软件如今在网上如日中天，因其庞大的病毒库和快速升级频率以及强大的杀毒能力受到不少网友的青睐！但是否用了卡巴斯基就无忧了呢？前段时间，网上出现了一款专门针对卡巴斯基的病毒。卡巴斯基的用户，纷纷被秒杀！
　　
　　病毒工作机制如下
　　
　　１检查被感染机器是否安装卡巴斯基(KIS或KAV)
　　２如果没有安装卡巴斯基，直接运行病毒代码
　　３如果发现安装卡巴斯基，则释放一个批处理（.bat）文件，代码很简单，如下：
　　@echo off
　　set date=%date%
　　date 1987-10-18
　　ping -n 45 localhost > nul
　　date %date%
　　del %0
　　
　　细心的你会发现系统时间被调整到了1987年10月18日（时间没变，日期变了），这时，卡巴斯基的监控立刻失效，在成功完成Over掉卡巴斯基后，病毒释放如下文件
　　%SystemRoot%\system32\*.EXE
　　%SystemRoot%\system32\*T.EXE
　　%SystemRoot%\system32\*.DLL
　　%SystemRoot%\system32\delme.bat
　　（注：*为随机8位字母）
　　并在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\添加若干伪系统服务，至此，病毒成功运行！可以说，卡巴斯基被秒杀，一点反抗能力也没有。www.qikan.com.cn531qt9O0qGPEgSsr
　　其实，这个Bug早已存在，但卡巴斯基一直没有修正，直至现在出现了利用这个Bug的病毒！
　　那么，我们就没有办法来防御了吗？现在教大家一个小方法，在卡巴斯基官方没有修正这个Bug之前，能阻止卡巴斯基失效！
　　第1步点击“开始→运行→gpedit.msc→回车→打开组策略”。www.qikan.com.cn531qt9O0qGPEgSsr
　　第2步在组策略管理器中选择“计算机配置→windows设置→安全设置→本地策略→用户权利指派→更改系统时间”。
　　第3步双击打开“更新系统时间配置”属性对话框，把里面的所有用户名全部删除，然后点击“确定”。
　　第4步重启计算机（一定要重启，否则无效）。重启后，在Winsows模式下和命令提示符下均提示无法修改时间。好了，这下不怕卡巴斯基被病毒over了！同时也可以防止黑客入侵通过修改时间来使卡巴斯基失效！

zfznbic

这个方式我想过，也做了。不过不敢试。。哈哈。。

wangjay1980

这个早就有人发过吧，卡巴直接就杀了detected: Trojan program Trojan.BAT.KillAV.ec File: C:\Documents and Settings\Owner\×ÀÃæ\н¨ Îı¾Îĵµ.bat

[ 本帖最后由 wangjay1980 于 2007-5-9 08:21 编辑 ]

队长别开枪

楼主说的情况我也中过，把时间调回来后再杀毒就好啦

晃晃悠悠

恩，这个问题貌似已经不是问题了

蔓草

原帖由 晃晃悠悠 于 2007-5-9 09:25 发表
恩，这个问题貌似已经不是问题了

斑竹的意思是卡巴已经没有时间的问题了？？我看不是吧，时间改了还是会出现保护停用的，所以还是把更改时间的组去掉为妙。个人建议

100125

这个问题我昨晚就遇到了,惨,

刚开始我以为怎么了,突然卡巴失效,现在明白了,

aribeth199

以前好像有人说过。

巴豆妖

谢谢，原来还不知道，受教了

wwwoshihai

我说怎么咔吧会突然失效!当时没注意系统时间!只是重装了系统!