好的查杀木马病毒的软件电脑上已经装了卡
自己手工删,这样最有效。
既然知道是什么病毒了,也知道在什么地方,就手工删吧。
有关木马杀客
大意:
木马杀客处理木马的真相就是木马杀客就是靠的MD5+文件名识别
木马杀客作者在其主页上大吹特吹其采用了特征码和传统的病毒库识别木马的方法,很显然,这是一个天大的骗局:
选取了木马杀客的三个主文件,改名字为灰鸽子的服务端程序名字,木马杀客立即六亲不认,将其“隔离”之。 卡到这里大家又该明白了一点,木马杀客还靠文件名来识别。NAME。ENX和ZY。ENX明文记录木马文件名和MD5值,服了,咋不加密一下呢。
详细:
近年来,木马成为了网络安全的一大新的威胁,于是各种各样的反木马软件也应运而生,前...全部
自己手工删,这样最有效。
既然知道是什么病毒了,也知道在什么地方,就手工删吧。
有关木马杀客
大意:
木马杀客处理木马的真相就是木马杀客就是靠的MD5+文件名识别
木马杀客作者在其主页上大吹特吹其采用了特征码和传统的病毒库识别木马的方法,很显然,这是一个天大的骗局:
选取了木马杀客的三个主文件,改名字为灰鸽子的服务端程序名字,木马杀客立即六亲不认,将其“隔离”之。
卡到这里大家又该明白了一点,木马杀客还靠文件名来识别。NAME。ENX和ZY。ENX明文记录木马文件名和MD5值,服了,咋不加密一下呢。
详细:
近年来,木马成为了网络安全的一大新的威胁,于是各种各样的反木马软件也应运而生,前一段我听朋友介绍,在木马杀客官方主页上下载了一个名为木马杀客的软件(现在最新版本是2007测试版1),试用之后,发现了一些问题,现在整理出来,让大家做一个了解。
我下载的是绿色版的木马杀客2007测试1,从目录下的EThread。fne等文件的fne名可以确定,该软件是使用易语言编写的。在试用过程中,我发现,木马杀客是靠文件名+文件体积的方式来识别木马的(也就是用作者在网上收集的木马名字和木马文件的体积和扫描的文件来进行对比),为此我特地做了两个小试验来进行验证:
NO1。
小试验一:
在桌面建立一个空文本文件:
改名为lsass。exe,木马杀客立马报毒,并立即改后缀隔离(要将该空字节文件和木马杀客同时置于桌面或者同一目录下):
这难道也叫木马,空的文件,可笑:
上述小试验大家可以看出,木马杀客就是靠的已知的文件名来识别木马的,作者所谓的病毒样本上报,也不过就是想得到新木马安装之后的服务端名字和文件体积而已。
NO2。小试验二:
我在网上下载了“中国病毒联盟”的25个木马的文件包,选取了里面的一个木马:
木马杀客可以识别出来并隔离:
为了改变文件的大小,我给该测试用木马加了一个空的区段:
大家仔细看,文件体积已经改变:
在用木马杀客去扫,已经没办法识别出来了:
换用卡巴去扫,依旧可以识别出来:
通过上面的两个小试验大家可以看出,木马杀客识别木马的方法就是靠的文件名+文件体积的办法,也许有些木马杀客的拥护者要质疑,那我在接着验证一下,看木马杀客是否支持先阶段主流的表面特征吗识别技术。
NO3。小试验三:
同样选取刚才的木马
木马杀客可以识别出来:
我试用MyCLL将木马分成50块:
再用木马杀客扫描,已经不报毒了:
卡巴和AVG Anti-Spyware v7。5因为支持特征码是被技术的缘故,可以查杀分块后的文件
上面的对比测试已经可以充分说明了木马杀客识别木马的原理了,想必大家心里也有了一个底。
其实衡量一个杀木马软件还有一个重要的指标就是支持脱的壳是多少,关于这一点,遗憾的是,木马杀客作者也许连什么叫加壳都不知道吧,也就谈不上支持何种壳了。大家可以参看:
。
NO4:我还要说一点的是,木马杀客号称一个反木马软件,可自身却被杀软大厂报识别为木马,这是昨天截取的图片,瑞星2006将木马杀客识别为键盘记录类木马:
AVAST!4。
7专业版同样的也将木马杀客报为病毒:
这个呢稍有电脑常识的人都能想到它要干什么了吧,我就不多做解释,大家自己去想吧:
木马杀客的论坛上有人说是因为易语言的缘故,但奇怪的是我用易语言再带生成的MP3播放器用上述两个杀软扫描,并没有任何提示。
多的评述就不说了,功过是非,大家自己去想吧!
木马杀客论坛上有人解释说,我的第一个测试有问题,说他那个是因为加入了什么所谓的“系统内核保护技术”,只要在别的地方发现与系统关键文件同名的文件,就会立即删除,那好,就这句话,我就补上另一个试验,就可以揭穿他们的谎言了。
同样的建立三个空的TXT文件:
改名为G_server。exe,G_server。dll和G_server_hook。dll也就是老版本灰鸽子三个服务端文件名:
看到了没有,同样是空字节的文件:
看到没有,报为灰鸽子了:
更离谱的是我选取了木马杀客的三个主要文件,mmsk。
exe、mmskskin。dll、skinppwtl。dll三个文件
改名为G_server。exe、G_server。dll、G_server_hook。dll。
看到没有木马杀客真正是铁面无私,即使是自家的文件,主要换上木马的名字,照样报毒。
做完上面的这些小实验之后,我就想,做为国内的另一个查杀木马的拳头产品---木马克星会不会也有这样的问题呢。接下来,我就用相同的小实验来验证一下:
采取相同的办法,提取了三个文件出来,分别是木马克星安装目录下的Iparmor。
exe,SocketArmor。dll,和HookHookDll。dll:
还是改为图中所示灰鸽子的三个服务端文件:
心彻底寒了,也是将自己报为木马,这也从侧面说明了,木马克星和木马杀客根本就是一丘之貉
G_server。
dll文件没有被识别为木马,其根本的原因是G_server。dll这个文件名未必木马克星作者收录的缘故吧。收起
