我们的网络面临病毒问题,但我无法识别它,因此我们无法妥善处理。
症状是病毒复制了一个word文档(.doc),生成了一个同名但带有exe扩展名的新存档,然后病毒隐藏了原始文件。
因此,当用户单击文件时,它会自行传播。
赛门铁克AV似乎可以阻止它:每次病毒尝试生成exe时,赛门铁克都会阻止它,但此时原始文件已经转换为隐藏文件,因此用户认为该文件已被删除。
赛门铁克将其识别为简单的特洛伊木马。我已经开始全面扫描,但什么也没找到。
我想知道病毒的名称以对抗它。
有没有人有任何信息?
TIA,
鲍勃
AskOverflow.Dev
如果一个 AV 程序不能胜任这项工作,请抓住其他几个程序并与他们一起扫描。没有,而且毫无疑问永远不会有任何一种产品可以检测和删除所有病毒/恶意软件。
当遇到棘手的病毒时,我更喜欢从另一个正在运行的操作系统扫描驱动器。要么将该驱动器添加为另一台机器中的第二个驱动器,要么使用带有 AV 软件的引导 CD。有许多病毒无法从正在运行的操作系统中清除。
以前在 Virut 和其他一些被 McAfee VirusScan 归类为 Generic PWS.g 的病毒中看到过这种行为。
如果你能得到一个“干净”的文件样本,你可以将它上传到专门扫描病毒样本的网站。谷歌应该产生一个这样做的网站列表。
我会尝试获取适用于 Linux 的 liveboot CD 并以这种方式访问该文件,因为 Linux 不执行 Windows 可执行文件(只要它不运行 WINE)并且 OpenOffice 不应该支持 Office 文档中的任何奇怪的宏。即使是这样,有效载荷也应该被 Linux 约定充分混淆以使其免疫。
然后我会获取文件,将其上传到网站,这应该让您对您正在处理的内容有所了解。
这不像过去病毒就是病毒就是病毒的美好时光。今天每个供应商都用自己的约定命名病毒,任何微小的变化都会突然成为一个新病毒(与我们的竞争对手相比,我们捕获了 180 亿个病毒!我们没有提到其中 179 亿个只是有不同的错字!)
如果您不熟悉 Linux,您也许可以找到有一定经验的人来提供帮助。Linux 对我们来说是解决此类问题的真正礼物;这就像拥有用于处理恶意软件的重型环境清洁服,如果在尝试分析情况时发生“意外”,则会削弱 Windows 工作站。
现场的 Macintosh 也可能能够以允许您将其上传到在线扫描仪的方式处理文档,只要您没有安装运行虚拟化 Windows 会话的集成 Windows 模拟器/虚拟器单击可执行文件,如果您的文档使用某种形式的宏并且您安装了 Office,我不知道它是否会尝试运行某些宏。但是,无论如何,它应该被平台差异所混淆......除非您集成了 WINE 或虚拟化程序,以便您不小心感染了您的虚拟化环境。
Win32:AutoIt-CI
这可能是病毒的名称,它基于一些假设,但可能就是这样
对于这种事情,我喜欢在 PC 上运行HijackThis (http://free.antivirus.com/hijackthis/) 。这会为您提供一个日志文件,其中会提示可能已更改的常见设置。即可能指向 PC 被感染的位置。
可以在此处在线分析日志文件(不要接受此分析为 100% 准确):
http://www.hijackthis.de/
许多论坛也会查看 HijackThis 日志并给出很好的建议。
Secured2k 是带有几个非常好的实用程序的启动 CD(可在下面找到)
http://community.mcafee.com/thread/6923
这张启动 CD 包含一个注册表编辑器和一个来自 Sysinternal的名为“ Autoruns ”的工具。
自动运行向您显示Windows 中所有可能的启动位置。当病毒将其路径添加到加载“Explorer.exe”的注册表项时,我发现这很有用。