泡泡网软件频道 PCPOP首页      /      软件频道     /      评测    /    正文

利用木马实测卡巴斯基2010安全免疫区

    泡泡网软件频道9月14日 一般情况下计算机感染病毒大部分都是由于下载运行了来历不明的文件造成的。对于最新的病毒,有时候反病毒软件并不能百分之百成功查杀。所以,安装了反病毒软件也并非就是一劳永逸了,除了要提高自身警惕性和及时给反病毒软件升级外,难道每次安装软件或者运行程序时,都要战战兢兢,如履薄冰吗?笔者就市面上流行的反病毒软件进行了一下了解,发现卡巴斯基新推出的全功能安全软件2010的一项安全免疫区功能似乎能够解决这个难题。为了验证究竟效果如何,笔者进行了一番实际测试。

    本测试是在虚拟机中进行的。此外,由于测试使用到了恶性木马,不建议普通用户模仿。笔者首先从网上下载了一个木马样本,名为Trojan-Dropper.Win32.Agent.avts,被它感染的计算机就变成了所谓的肉鸡。不仅如此,这种木马还会下载其他恶意程序到受感染计算机,危险性很高。下载木马样本前,笔者退出了卡巴斯基2010,否则会被卡巴斯基拦截。下图就是该木马样本:

    在测试前还有一个问题需要解决,那就是,由于此木马卡巴斯基已经可以查杀,运行此木马时,卡巴斯基会检测到并将它删掉,所以要想无障碍地运行还需要对此样本文件做一些免杀处理。做免杀笔者还没这个能耐,不过笔者有黑客朋友会做免杀。经过朋友的一番折腾,样本真的不能被卡巴斯基7.0查到了。有了免杀样本那就闲话少说,开始测试!!首先需要让木马完全跑起来看看行为。关闭卡巴斯基2010,双击样本运行后,桌面的样本不见了,原来它在感染计算机后,会自动删除自身。除此之外,计算机表面并没有任何异样。但事实上该木马已经感染了计算机。首先,我们打开系统的system32文件夹下,可以看到木马释放的文件,名称为xttp6J11x.exe 如下图:

    另外,此木马还创建了一些注册表项,如下图所示:

    我们使用Sysinternals出品的网络连接查看工具TCPView检查一下目前计算机的联网情况。

0人已赞

关注我们

泡泡网

手机扫码关注