裸奔中招,提醒兄弟们还是装个把病毒监控吧
上上周在教室电脑里用过U盘,又去研究所电脑上拷了些东西,回家之后倒到自己电脑上。原本装有360杀毒的,但是因其对360系列产品防护甚严,以至于R&R 4.0备份时总要提示某某文件不能复制的对话框,而且都是R&R默认必须备份,无法跳过的文件。360保险箱、360安全中心自我保护等也引起这个问题。一怒,将360杀毒、360保险箱彻底卸了。把360自我保护关闭。R&R备份终于省心了。
但是这次却有麻烦了。点击U盘某文件夹图标的时候,不知不觉间小小木马就进驻我的windows\system32了。后来不知因为什么原因,切换了显示隐藏文件选项,再看U盘,所有的文件夹都是一对,一个隐藏的,是正牌的文件夹,一个显示的,却是同名、图标是文件夹试样的小程序——不问而知,是病毒或木马了。看到了就不手软,该备份备份,格式化U盘。360也没有报警,估计没引起什么问题。
但是晚上开始就不正常了。emule、灵格斯词典等常用软件不是无法运行,就是莫名其妙自己关闭。很久没有中毒中马,所以开始竟然没想到是中木马了,以为是新换上的内存条兼容性的问题。但后来想想不对,内存条换上也有半个多月了,这些软件也没有更新过,要有兼容性问题早就发作了。
打开任务管理器,看见了两个面生的进程。看来这个木马还不是很狡猾,没有用隐身术等高端手法。按图索骥,终于把它在system32下搜出来了,是两个字母数字组合名的文件夹,关闭有关进程后用unlocker删除。终于还是有一个需要重新启动之后才能彻底删除。如此一番折腾,总算没事了,使用上也都正常。
经过这个事情之后再看,有几个教训:
1. 360这个东西还是不尽可靠。这样说当然有些责备求全:原理上所有的杀软、防火墙都是千日防贼,或者有杀错无放过,被动、笨拙且神经质。病毒木马则永远处于主动的进攻位置。但是从这次经历看,文件夹同名病毒不算新,已经是小case了,但自始至终360没有报警,看来其监防机制大有漏洞。
2. 没有可靠的报警,难免乱怀疑,举止失措。有的同学出于各种顾虑,不愿用杀软、防火墙,而是采取原教旨主义安全策略——时时备份+裸奔+风吹草动之下即重新覆盖系统。但是人的思考是发散性的,会犯错,不象软件这种东西是一根筋。防毒的弦谁都不会绷得象软件这种死东西那么紧。如我开始怀疑到内存条上那样,一个犹豫,一个失误,就会招来不必要的麻烦,造成无谓的二次损失。至少多耽误很多时间,影响工作效率和心情。
3. 可靠的防火墙+系统备份,一主内一主外,二者搭配,大可有备无患。但应注意二者有无冲突。从安全角度讲,为了备份而强制关闭防火墙的自我防护功能得不偿失,那么备份软件就应当提供方便的排除功能。但R&R4.0的排除策略非常保守,文件夹下如有.exe、.dll等默认必须备份的文件,设置排除时点选了文件夹本身是没有效果的。可能这个问题暂时还不突出,将来应该逐渐有更方便稳健的解决方案。当然也可能是我孤陋寡闻,还请了解这方面的同学不吝赐教。 现在学校的电脑以 木马 和 U 盘病毒为主,提请各位学校常用 U 盘的要回到自己电脑用最新版的扫描一下为好。
影子系统,加备份的人飘过
防火墙,杀毒软件 都是没有多大用的东西道理很简单
因为先有病毒,才有杀毒软件。 学校是木马集中营!
页:
[1]