有意思的千橡网络
这周老爹的电脑中了一个木马,叫什么什么Desktop,然后IE就经常蹦点乱七八糟的窗口,诺顿也每每辛勤地来报警。出于安全负责的精神,不得不帮老爹看看。
根据各种症状提示,又在网络上大肆搜索了一番,终于知道这套东西叫ie-bar,似乎是千橡网络做的。该木马不但自己注册运行dll,而且可以伪装为Windows驱动程序,同时还在系统的多个位置放置自己的种子以备再生。安全网站上列出的需要手动处理之的相关文件加上注册表项怎么说也有好几十条。最糟糕的就是不同的变体放置的种子的位置和数量各有不同。可能是我查到的资料不权威,也可能是我在手动处理的时候太懒,总之结果就是每次重启木马就完完整整地复活过来,折腾了2个小时还是没弄干净。
我心里的感觉就是:好在我研究计算机是研究如何建设而不是如何破坏,要不这个脑筋可是不少消耗。
后来看见木马的ie-bar目录下有个uninstall程序,运行之后木马就把自己给删了……比手动卸载干净多了。不过网上也有人说用了uninstall之后,木马会把自己隐藏得更为深入,那就不知道了。总之现在诺顿有时候还是会报警,可能是真的没弄干净,也可能是操作系统中还有不知道什么漏洞吧。有空得再细查查。
要是将来病毒啊、木马啊真的纷纷自带卸载程序,那倒是真的“盗亦有道”了~
