路客511
新手上路
积分 7
发帖 7
注册 2008-8-26
|
#1 微点能防止这样的病毒吗?
在网上看到这样的报道,是不是以前dos病毒的翻版?微点应该可以防的了吧,希望能引起关注~
---------以下是转载的内容-------‘里面品牌名字我用字母代替了’:
js安全实验室15日捕获一种名为“鬼影”的电脑病毒,并表示,这是国内首个引导区下载者病毒,该病毒寄生在磁盘主引导记录,随某些共享软件捆绑安装进入电脑,中毒电脑即使格式化重装系统,也无法清除。目前日均感染电脑2-3万台,其中大部分为网吧终端机器。
业内专家表示,一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录,在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。
“鬼影”病毒具有无文件、无系统启动项、无进程模块的“三无”特性。中毒电脑即使重装了系统,当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
研究人员发现,“鬼影”病毒入侵后,会释放驱动程序改写硬盘主引导记录,驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
而左轮安全中心的驱动过滤功能可以有效拦截“鬼影”病毒释放驱动的程序,使其无法运行,有效防止病毒发作。
现在的恶软或病毒基本都是用到RootKit技术,进入到系统内核层进行破坏;基于这个前提,所以我们可以阻止它进入内核层,那么它的破坏就很有限了,甚至根本无法执行。目前进入内核层的方法有通过驱动(鬼影就是基于这种方式)或无驱方式进入,左轮安全中心均可以拦截这2种方式;拦截后,会在系统托盘右下角出现一个拦截提示;另外在服务端上也有提示,通过服务端或客户端都可以对被拦截的程序进行放行操作,放行后,被拦截的程序才能正常运行。所以放行前请认真判断该程序是否为恶软或病毒。(驱动放行库 官方会每2小时自动更新一次,会将最新的游戏/正规软件/硬件的驱动添加进去,以后就不会拦截了。本操作仅仅让网管更加灵活处置意外事件而已)。
放行操作分临时放行和永久放行两种; 临时放行:只意味着本次放行有效,下次重启又会被拦截;另外,无论是在客户机还是在服务器进行放行操作,结果都是针对整个网络的操作,不需要对每台机器进行单独操作!
| |
※ ※ ※ 本文纯属【路客511】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
