月度归档： 2007 年 9 月

? 这个木马在我电脑里呆了有一段时间了，文件生成日期是9月8号晚上4点多，Microsoft的签名。与他一起同时存在的还有

C:\WINDOWS\system32\drivers\tmp.exe

C:\WINDOWS\system32\drivers\my_70130.exe

C:\WINDOWS\system32\drivers\enjoyienoui.exe

C:\WINDOWS\system32\drivers\service.exe
C:\WINDOWS\SYSTEM32\SERVICE.EXE

? 9月10日瑞星防火墙拦截提示有不明程序my_70130.exe开机访问网络，瑞星卡卡查看启动项可以发现
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\RsAutorunsDisabled]
“Userinit”=”C:\\WINDOWS\\system32\\drivers\\service.exe,”
异常，当时电脑上安装NOD32+瑞星防火墙的组合。用NOD32彻查了一遍电脑，没有任何病毒提示。于是卸掉了NOD32，安装了瑞星2007。用瑞星查毒也没有任何病毒提示。在网上搜索发现有卡巴斯基的用户提交了病毒样本，卡巴斯基明确回复说是木马，并已添加到下一次病毒库更新。我也照样学样给NOD32和瑞星分别提交了病毒样本，遗憾的是没有收到任何回复，直至9月16号的病毒库瑞星仍无法查出该病毒。
? 因为刚开始就通过瑞星卡卡禁用了该病毒的启动，所以也没造成什么威胁遂没去管它。今天闲得无聊，想用它来测试一下另一款国产杀毒软件江民KV的反映能力，安装时选择了扫描内存使用的是9月10号的病毒库，没有发现该病毒。更新至9月17号的病毒库后才查出了C:\WINDOWS\system32\drivers\service.exe和C:\WINDOWS\SYSTEM32\SERVICE.EXE 。
? 结论：瑞星和江民算是国内杀毒行业的领军人物，希望他们在通过广告效应和提供各种花哨的功能疯狂的争抢客户的同时不要忘记更重要的是努力提高产品的质量，为客户提供更好的服务。

PS：文中所提及杀毒软件均为正版！