微点交流论坛

标题: 微点必须正视的问题[win32 pe病毒] [打印本页]

作者: cldiyer 时间: 2009-7-31 19:06 标题: 微点必须正视的问题[win32 pe病毒]

我不是病毒专家，所以win32 pe病毒还是从网上查找才知道这种病毒叫这种名字。
知道这类病毒，是通过威金（Viking）爆发。
那年我在一个网吧机房工作，当时的游戏量大约是在200G左右，用的是当时比较先进的三层更新方式，从公司到机房，从机房到客户端，因为公司更新服务器因为不注意安全而感染威金，使得我们所有的网吧机房都被感染，在出问题后第三天，客户开始反映网速很卡，游戏容易出错，当时我的网管机还在使用瑞星，并且花钱购买了一套正版，就通过网络共享把服务器盘挂起来杀毒，这是我头一次接触了这种病毒，也明白可以只清除病毒而不删除文件。
可是不知道当时的瑞星技术不成熟还是病毒编写不成熟，杀毒后的EXE文件大小有变化，使得有部分有自校验的游戏，无法正常游戏，而这些游戏只好删除所有exe文件，等公司服务器恢复正常后，再更新下来。

时间一晃，我自己开了网吧，又开家电脑公司。

前段时间，将U盘插到一个电脑上维护，发现插入U盘后很卡开始意识到，有可能N年不见的能感染EXE的病毒又让我碰上了，中间省略N多字做系统。等回来修U盘的时候，插上U盘微点就开始报毒，但是我发现是直接删除我的文件，这个时候我就慌了，我的U盘上好多工具程序虽然说备份过，但是版本都很旧，或者有些工具很难再在网上找到，所以只好清理的U盘的自启动关了微点想办法。

于是就想起来了瑞星，其实从心底讲，杀毒软件里我根本看不上瑞星，需要我维修的电脑，只要是系统故障 60%以上都是瑞星病毒共存的。可在目前我所有用过的杀毒软件里，PE病毒剥离（名称自创……）瑞星在这方面做的是很好的，于是乎放下偏见，装上试试吧。

下载了免费版，吧U盘扫描了一遍杀出来200多个病毒，然后又卸了瑞星，起起来微点，点了很多个EXE文件，都没有问题，然后从备份里比对了几个程序，发现没感染过病毒的文件和感染过病毒然后被剥离病毒的文件文件大小相同，修改时间相同。

我突然感觉到，其实在瞧不起瑞星的同时，瑞星的技术师们还是有点作为的。

写了这么多，其实想表达的意思，是我作为一个微点的忠实FANS，作为一个彻底的倒瑞者，在出现一些棘手问题的时候，不得不放下微点，而暂时使用瑞星的PE病毒剥离技术，对自己来说多少有点讽刺……。

微点能否在这个方向能有所发展，在对待染毒文件的时候，能否不再是一棍子打倒的方式……？

作者: Legend 时间: 2009-7-31 19:13
谢谢楼主的反馈。
建议楼主将几个这样的样本加密压缩(密码设置为 virus)后发送到 virus@micropoint.com.cn 邮箱，我们具体测试分析后再具体讨论。

发送时请在邮件中注明本帖链接，并在发送后请将您的邮箱地址通过论坛短消息发给我，便于我们及时跟踪处理。

作者: gongtao81 时间: 2009-7-31 23:23
家庭用户的使用过程中微点足够，但在企业用户的使用过程中，总感觉微点还欠缺一点什么东西...
希望快快的多多完善，实话实说：我不想每天一遇到问题就向客服求救，也不希望客服一天远程帮我处理这些问题。。。（至于说为什么要向客服求救，并不是我们自己不会解决，原因多方面了，这点不做详细说明）你们省点时间搞开发，做创新那不是更好。。。
私人用户虽然占据了很大部分市场，可一个安全产品真正赢得口碑的确是企业，只有大中小型企业认可了才说明是成功的！再这里就不要拿奥运会运营中心说事了，那毕竟是和外网隔离了的。

作者: Legend 时间: 2009-7-31 23:34
对于被病毒感染的正常文件，一般情况下微点不会直接删除，而是对所生成的病毒文件进行处理，并让原文件正常运行。不过如果要清除被感染文件中的病毒代码，目前需要用到微点的杀毒软件。微点杀毒软件将很快公开测试。

另外，楼主所反馈的问题与上面的情况略有不同，因而建议楼主提供些具体的样本，我们具体分析后再进一步讨论。

需要说明的一点是：一般在安装有微点的系统中不会出现可执行文件被感染的情况。

作者: littlefritz 时间: 2009-8-1 10:00
比如Win32.bmw.a，Win32.logoga.a，瑞星都可以在保护原来文件的正常运行的前提下完全清除病毒。所以瑞星在对待感染型病毒方面都比较好。包括感染网页文件的病毒。

作者: littlefritz 时间: 2009-8-1 10:02
的确，用微点的话就请持续使用，不要暂停其运行，他就可以很好地防止这些事的发生。

作者: cldiyer 时间: 2009-8-1 15:36
昨天累了一天，发帖有点牢骚性质，见谅……
主要是问题没说清楚……
杀毒防毒能力微点没说的我现在的御用杀毒软件，正版装机客户接近100中。

昨天遇到的问题是U盘被一个染毒的电脑感染了不是传统的AUTORUN病毒，而是感染EXE的病毒，插到我自己的电脑上，里面的exe文件被微点报告病毒，点确定后就会被删除……然后换瑞星上来把病毒剥离了，文件还能正常，觉得有点心理失衡，上来发个帖子……

病毒样本随着杀毒，给顾客重装系统，从我的U盘和客户的电脑上双双消失，只是影像里，大概和QQ得辅助进程 TXPlatform.exe有点像。

作者: littlefritz 时间: 2009-8-1 16:05
我今天才发现我所感染的病毒被瑞星剥离之后一样不能用了。。。55555555555555

作者: 浅寂 时间: 2009-8-1 19:53
好不错建议~~
我也有过类似经历，那个该死的病毒叫“中文求职信”
中毒后，只能重装系统，或者全盘杀毒，一不小心，死灰复燃~~~

作者: Legend 时间: 2009-8-4 09:47
不知道楼主是否还有具体的感染文件，如果有，可以直接发给我们分析下，谢谢。
具体发送方式见2楼。

作者: 凡间幽灵 时间: 2009-8-5 12:22
感染型的病毒多了，要剥离也得分是怎么感染的才行，有序感染的清理基本上没太大的难度，主流的杀软都可以了，那些随机插入代码的清理难度非常大，因为根本不知道是在哪插入的哪些代码，咋清？
运气好的遇到了简单感染的病毒了，然后随便用个杀软就可以清掉了，比如星星，杀个跳蚤之类的还是足够的。。。。。。。

作者: Legend 时间: 2009-8-10 11:09
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论。

建议：如果下次再遇到此类情况，最好可以备份下几个样本，以便我们具体分析讨论，谢谢。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn