流氓软件严格来说算不上病毒木马,因为本身没有对计算机进行学术意义上的危害,但是它们借用木马的传播方式与技术,后台抱团下载安装到用户电脑,导致用户的电脑卡顿,实现推广盈利之目的。对于怎么清理这类流氓推广软件,确实没有比较好的方法,我曾尝试通过网络防火墙拦截对应关键字的域名,但是效果不明显,可以拒绝一部分下载,却拦不住黑名单之外的软件与域名,而且这种拦截也有局限性,不仅受限于添加域名的数量与种类,也受限于防火墙的功能与规则。
流氓软件严格来说算不上病毒木马,因为本身没有对计算机进行学术意义上的危害,但是它们借用木马的传播方式与技术,后台抱团下载安装到用户电脑,导致用户的电脑卡顿,实现推广盈利之目的。对于怎么清理这类流氓推广软件,确实没有比较好的方法,我曾尝试通过网络防火墙拦截对应关键字的域名,但是效果不明显,可以拒绝一部分下载,却拦不住黑名单之外的软件与域名,而且这种拦截也有局限性,不仅受限于添加域名的数量与种类,也受限于防火墙的功能与规则。
同事说她的电脑不停弹窗,而且很卡,一看又是各种国产推广软件,已经卸了好几轮,但还是会在后台自动下载安装。先按常规的方法断网,再卸载各种国产套皮软件,压缩、桌面壁纸、数据恢复、记事笔记、看图、PDF等,然后再清理服务、驱动、计划任务、注册表启动项等可能隐藏后台下载的地方,还清了临时文件夹,把后台下载完和没下载完的都干掉,重启,好像清静了,插上网线,过了一会,跳出个16位MS-DOS Subsystem窗口,说在临时目录里有个可执行文件,然后The NTVDM CPU has encountered an illegal instruction,同时还有一个黑色窗口,不过标题栏上的文件名不是前面提示窗口上出现过的名字,但位置还是在临时目录里,类似的窗口接连跳出好几个来,看来这自动下载又回来了。
接到一起攻击报告,中毒设备只连内网,并不能上外网,据说该设备有攻击行为发生,随便检查了一下,没发现可疑项,懒得细看,直接上杀毒软件,原来没有装过,直接装上扫描,发现一个c:\windows\tasksche.exe,报为Wannacry勒索病毒,这个被杀毒软件清除掉了,顺便在cmd里运行netstat -ano,还有试图一些连外网IP的连接,按PID在任务管理器的进程表里查了下,也是c:\windows\下的,mssecsvc.exe,转到服务,真有一个服务,刚才查启动项时竟然没有注意到,服务名是Microsoft Security Center(2.0) Service。
好久没玩过杀毒了,竟然今年抓到两次,都是这个Issas.exe,路径是c:\windows\Issas.exe,注意文件名第一个字母是大写的i,系统里也有一个lssas.exe,第一个字线是小写的l,与大写的i放在一起电脑里看上去基本是一样的,但“好”文件lssas.exe是在c:\windows\system32\下,与病毒Issas.exe的路径不同。
这个“找找啦”导航网页www.zhaozhaola.com在很长一段时间内总是出现在家里的台式机里,不仅篡改IE主页,还添加了浏览器收藏夹、快速启动栏、桌面快捷方式等地方,每次清理完,过上一段时间就卷土重来,甚至有一段时间不得不把快捷方式加上只读属性来屏蔽。我始终没有找到根源在哪,开始还以为是家里老人上网误点了什么,直到昨天才发现原来它的窝点是千彩手写板程序HandWriting.exe。
“Petya勒索软件背后的作者公开了解密主密钥。主密钥可用于解密所有版本的 Petya 勒索软件,但最近流行的 NotPetya 除外。NotPetya 伪装成 Petya 勒索软件,其目的被认为是为了破坏数据,本质上与 Petya 无关。Petya 作者将主密钥上传到了文件共享网站 Mega。安全研究人员已经证实了密钥的真实性。专家相信 Petya 作者公开主密钥的动机旨在与 NotPetya 攻击切割,避免在 NotPetya 攻击之后受到调查或被控发起了 NotPetya 攻击。”
这是电脑报论坛上看到的一例求助,原帖说IE主页被改成826什么的,网址都是数字,注册表已经清理过了,但每隔三四天又重新被写入。这个现象很象以前我遇到的主页被改成927927那个事,正好求助帖提供了一个SREng扫描的日志,虽然这工具好久都没人用了,看日志也累多了,但因为有前车之鉴,直奔目标,在驱动程序里果然有这个东西……
这个跳转hao123并不是病毒、木马劫持或篡改IE或其他浏览器的主页,而是打开特定的网页时有机率地跳到hao123上,跳转后出现的hao123后带的tn小尾巴都是相同的一组数字。而特定的网页是偶然发现的,装的系统是win10,进入设置-隐私-常规,点击右边最后面的“管理我的Microsoft广告和其他个性化设置信息”,就会随机跳转。
对于勒索软件,安全专家们一般建议用户主动保护,而不向犯罪分子支付赎金。所谓主动就是备份。备份的重要性我也说过多次,不用再重复。所以主动防御第一招就是备份,千万多选几种备份方式,就算是只备份一次,也考虑备份在不同的介质上,不要都放在同一台计算机里,比如U盘、移动硬盘、网盘、NAS,再不济也放到另一台电脑上,如果有的话。
安装完win10后就有一个网址死活赖在系统里不走,就是www.927927.com/?Axxxx,打开IE和Edge就就是它,然后很快就转到web.sogou.com/?xxxxx,这两个网址后面的x代表不同的数字组合,应该是推广编号,前面927927后的面的数字在我每次清理后重新出现时都会改变,以下是我的一系列清理历史。