主持人:
如果想手动清除这个病毒有什么比较有效的措施呢?
李铁军:
首先一个前提就是这个用户对系统是非常了解的,至少要知道进程管理器怎么看,普通的进程管理也会被他结束掉,可能需要第三方的安全管理工具。冰刃也是一样的,因为劫持不仅仅是劫持杀毒软件,基本上目前世界上能见得到的跟安全相关的检测工具都被它劫持掉了。包括清理专家、清理工具,都能劫持。如果不想被劫持就把这个文件改成一个名字就可以了,然后就可以去观察进程。我这边用手工的清除方法,现在有一些病毒同时有一个多进程相互监视,如果单纯的劫持进程是无效的。我都是用一个PE工具,有一个很好的功能叫暂停,然后检测进程,同时再找另一个病毒,把另一个病毒进程也暂停。
主持人:
现在对付病毒需要有高深的技术。比如说一个用户对计算机有些了解,但不是特别深入,也想尝试进行手工清除,为了保证即使清除失败也不破坏机器,需要做什么事情?
李铁军:
做手工删除的时候做一个备份,如果出现判断失误引起一些问题的话,还原还有机会再操作。
主持人:
有些病毒会针对硬盘里的Ghost备份文件进行删除,那是不是需要通过其它方式进行备份?
李铁军:
熊猫烧香就是找到你所备份的Ghost文件,然后了直接删除它。不过,我们可以把这个文件备份放到移动硬盘或者其它的位置,而不放在本机上。
主持人:
针对这个病毒有什么比较好的预防办法呢?
李铁军:
目前我们观察这种病毒程序本身主要的传播途径是通过U盘和移动硬盘的自动播放功。我的习惯就是使用资源管理器进行操作,这样自动播放对我就没有什么影响了。
主持人:
除了自动播放要关闭之外还有没有其它更好的办法?
李铁军:
通过U盘和移动硬盘自动播放传播,这只是病毒本身具备的传播功能。除此之外如果仅仅只有这一种手段的话AV终结者病毒不可能造成这么严重的影响,这么简单的传播途径相当于我们以前用软盘拷东西,这种情况不可能造成这么严重的影响。另外我们还发现使用更多的是浏览器、操作系统的漏洞,特别是针对安妮漏洞,你机器一旦有这个漏洞就自动通过ANI文件直接下载一个病毒程序执行。
主持人:
现在很多病毒还在用安妮漏洞进行传播?
李铁军:
非常多。很多情况下用户由于系统没有安装安妮补丁,就受到了一些病毒的影响。我们分析了里面一些要素,局域网用户可能中了一种病毒,局域网中有一台机器被攻击的情况下就会影响到网络中其他的用户,他访问其它站点的时候会发现都被劫持了。这种劫持局域网一个用户中毒导致一大堆机器中毒,这是对局域网内部来说的。另外,比如访问赛迪网站,服务器托管方在机房,这时如果有一个黑客入侵某个机器,他也发起了ARP欺骗劫持攻击,这种情况下其他用户访问赛迪网站的时候,就会被劫持到黑客指定的地址,下载木马。所以说ARP欺骗技术起的作用是非常大的。(责任编辑:李磊)
