Win32.Sality是一种感染型的病毒,应该是从去年底开始出现的,如今也有变种了,它感染所有的exe可执行文件,并禁用任务管理器、注册表编辑器与安全模式,劫持大量的杀毒软件并禁止它们上网升级,同时被它感染的EXE文件可能会受到损坏,即使清除病毒也不能修复,如果出现这种文件损坏的情况,只能在杀毒后重装相应的就用程序,如果受到损坏的是系统文件,只有用sfc命令检查修复或重装系统。
该病毒劫持杀毒软件并不是采用以前常用的注册表映像劫持,因此在注册表中是发现不了的,也是由于感染了exe文件,所以即使它的进程被暂时结束仍不能彻底修复系统(如被禁用的任务管理器、注册表编辑器)。对付这种感染型病毒,只能靠升级杀毒软件来清理,否则人工要处理一大堆被感染的exe文件是很做到的。由于杀毒软件被病毒劫持,因此如何保证带最新版病毒库的杀毒软件在电脑上运行是关键问题,有用U盘拷贝卡巴斯基的,有用绿色版的大蜘蛛扫描器的,也有安装江民免费版的(真不明白江民竟然还能安装上,据说是目前唯一能安装运行的杀毒软件,而江民又正好刚推出免费版
~~),还有升级金山的清理专家(也是据说能升级清理的工具之一)。还有性急的已经格式化重装了,如果不是全盘格式化,那么在重装后不要去碰其它盘上的执行文件,尽快安装升级杀毒软件杀毒。由于该病毒还会下载其它病毒木马到电脑上,所以即使清除了Sality病毒,也要全盘扫描检查,把其它搭配来的病毒木马一起处理掉,剩下的就是修复重装文件了。
这种感染型病毒用日志分析法是不能解决的,所以几次用SREng分析都没发现可疑,就算发现也不一定是Sality本身的病毒。因此加强电脑自身防御还是很重要的,而不是仅仅事后升级杀毒,毕竟已经出现文件损坏的状况了,这点上云安全没帮上忙,而杀毒软件上的主动防御也没有反应,真的是让人失望了。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/333.html
