[msahci / msahci]
<SystemRoot\system32\drivers\msahci.sys>
还是那台已经中过两次病毒老电脑,同样的现象,CPU100%被占用,在进程表中出现一个随机字母与数字组成文件名的进程,任务管理器中结束不了,然后不断出现一些随机数字组合的进程,没有后缀,结束了又会出现新的,电脑运行缓慢,卡得半死,安全模式下也是如此。
这是一个伪装成视频文件的木马,当用户下载想双击打开播放时,文件消失,同时加载一个服务到系统中,每次电脑启动时都会运行,从而控制用户电脑。该木马加载的服务名称:windowssysCPL,假冒系统服务,甚至还有“winNT控制面板管理”的提示文字混淆视线。
经常看到有朋友在论坛上问某某地提供下载的黑客工具安全不安全,或杀毒软件报告自己下载的黑客工具有病毒,可以想象这些下载黑客工具的朋友一副小心翼翼却充满好奇的样子,如果能得到保证安全的回答,一定会迫不急待地试用。然而你真的需要黑客工具吗?
佳能iP1180喷墨打印机不能打印,在文档中点击“打印”,电脑桌面的任务栏右边的监视区能够出现打印机图标,但打印机就是不动作,不送纸也不打印。iP1180工作状态显示窗口显示“打印机忙碌”,双击打开任务栏监视区域的打印机图标,显示正在删除打印文档,然后打印图标就消失了。
360杀毒正式出来了,360兴奋了,360的竞争对手也兴奋了,于是各大IT门户上带明显倾向性的评测文章多了,各大论坛新注册的会员也多,潜伏的枪手全冒头了,战斗开始。由于评测之难,所以我不评测,只说一些目前有关360杀毒比较热闹的观点。
今年以来微软连曝重大安全漏洞,在微软正式出补丁前,包括360、金山等安全厂商都推出自己的非官方补丁来暂时修补漏洞。一直很感兴趣这些第三方的补丁到底改了什么,当然文件替换或禁用某个设置的就不用说了,重点是想了解IE这方面修补ACTIVEX的漏洞是怎么补的。原来是通过设置Killbit。
从最初的第三方EXE加载DLL启动方式开始,到随后的使用rundll32.exe加载运行,再到利用NT服务的宿主程序svchost.exe实现启动,直到使用“ShellExecuteHook”(执行挂钩)技术,如今许多木马和恶意程序都在用户层使用ShellExecuteHook作为启动方式,实现随系统启动。