我提前为这篇冗长的帖子道歉。我发布了所有内容,因为我相信它的信息量很大并且可能有用。另外,我在最后发布了我的问题。
不久前,我是家中文件服务器的 RDC(从我家内部)。我打开了 Firefox 并在 Google 上搜索了一个制造商网站。单击链接后,Firefox 立即关闭。这对我来说似乎很奇怪,所以我检查了正在运行的进程并发现 d.exe、e.exe 和 f.exe 正在运行。
我在另一台机器上用谷歌搜索了这些进程,发现它们属于一个名为 defender.exe 的键盘记录器/屏幕捕获器/木马,根据 Prevx,它位于 c:\documents and settings\user\local settings\temp 中。(上一个链接http://www.prevx.com/filenames/147352809685142526-X1/DEFENDER32.EXE.html)
同时,服务器上出现了一个明显被欺骗的 Windows 防火墙弹出窗口,要求我单击“是”以更新 Windows 防火墙。
此时我结束了所有恶意进程,清空了临时文件夹,从启动中删除了 defender.exe,并检查了我的注册表和其他一些位置。在删除 Defender.exe 之前,我注意到它是在不久前创建的,就在 Firefox 崩溃之前。我相信我“几乎”感染了这种恶意软件。我相信它需要我单击虚假弹出窗口才能完成感染,因为它不允许从临时文件夹执行进程。清洁机器后,我重新启动它并监控了一个多小时。我正在讨论是否恢复 Windows 分区(与数据分开的物理驱动器)或只是观察它一段时间。
需要说明的是,由于这台机器的规格,我不运行杀毒软件,但我很了解它并定期检查它。这是一个非常古老的 Compaq,具有 400mhz 处理器和 512mb 内存。我有一个静态 IP,服务器位于运行 FTP 客户端和一些 HTTP 服务器软件的 DMZ 中。在传输之前,对传输并存储在此机器上的所有文件进行恶意软件扫描。通常,这台机器只运行 19 个进程,并且可以很好地达到预期目的。
我发布了这个故事,以便您了解可能的新恶意软件及其行为方式,但我也有一两个问题。首先,在过去的几个月里,我注意到在研究恶意软件时,PREVX 被列在我的大多数谷歌搜索的顶部,尤其是对于新的或不知名的恶意软件……而且他们总是希望你购买一些东西。我不认为他们是顶级的 AV 公司之一,所以他们总是在谷歌搜索结果中名列前茅似乎很奇怪。有人对他们的产品有任何经验吗?
此外,您依靠哪些网站进行恶意软件研究?最近,我发现很难找到好的信息,因为 HijackThis 日志和其他死胡同信息使我的搜索变得混乱。
最后,除了防病毒软件、第三方防火墙等,在像我这样顽固的管理员拒绝运行 AV 的情况下,您会使用哪些设置来锁定机器以使其更加安全?
谢谢。
一旦它在你的服务器上创建了一个进程,我会认为它和被黑一样好。是时候重新加载或恢复了。确保所有更新都已设置并锁定。
你说这个盒子在 DMZ 中,只运行一个 FTP 客户端和一个 HTTP 服务器。您还说正在传输的文件(可能是使用 FTP 客户端传输的)被扫描。因此,您并不完全反对 AV。所以,我想最终的答案是,不要在这台机器上使用网络浏览器。这是确保安全的最快途径,并遵守许多共同的安全原则。prevx.com 是恶意软件研究的糟糕资源。除非您病态地好奇,在虚拟机中工作并且喜欢路过式下载,否则我会简单地避免它。
请运行防病毒软件。即使只有每周一次或每月一次,没有“永远在线”的活动扫描仪。
唔。虽然出于对 Prevx行为的道德担忧,我个人现在拒绝与 Prevx 有任何关系,但就这一点而言,它们是一家合法的 A/V 和安全研究公司。
恶意软件新闻:我订阅了 websense 的博客,卡巴斯基和 F-Secure 也都不错,我发现。
至于那个盒子上的杀毒软件,你有没有考虑过像 Clam AV 这样的东西?这可能是一个并非一直运行的“按需”扫描仪,您可以将其设置为不时检查以保持机器清洁。如果您将一台 Windows 机器作为服务器放在网络上,您确实需要进行某种扫描。并且也不要将其用作客户端 - 如果您不使用浏览器,该服务器将无法通过浏览器获得 root 权限。
Prevx 绝对是合法的。他们可能是一些最热情的安全专业人士。毫不奇怪,他们通常是第一个,也经常是唯一了解新感染情况的安全供应商。这完全取决于他们使用基于云的技术,利用他们现在相当可观的客户群来帮助他们首先发现新的感染。它工作得非常出色。在 4 月/5 月,PC 杂志对这些人进行了表扬,并让他们的 Prevx 3.0 编辑选择在几乎所有类别中都成为反恶意软件的首位或并列首位。他们的清理工作也非常好,扫描速度惊人。
如果您仍然不相信多管闲事,请访问官方 Prevx 论坛聚集的 Wilders 安全论坛http://www.wilderssecurity.com 。
我希望这对您提出的问题有所帮助。
听说过可能的恶意软件 rascrypt64.dll PREVX 是唯一知道这件事的网站.. 我说很奇怪.. 所以我逛到了 wilderssecurity.com,他似乎是少数说 PREVX 合法的人之一,然后检查对于 rascrypt64.dll 在那里猜猜是什么..没什么
我认为 PREVX 和 WILDERSECURITY 是 ????\
我是 WildersSecurity 的 PrevxHelp,他是 Prevx 支持技术人员之一,在那里提供帮助。我们绝对是合法的,如果有人有任何问题,请随时写信到我们的客户支持收件箱或由 WildersSecurity 托管的论坛。我们已重新验证我们的网站均不包含任何恶意软件,因此它很可能是通过其他媒介进入的。如果 OP 仍然被感染,请联系我们并参考此线程,我们将让我们的一位工程师亲自帮助您,以确保您的 PC 已完全清洁,尽管问题不是由 Prevx 网站引起的。
感谢您的时间!
(此外,关于之前发布的 rascrypt64.dll,Prevx 数据库自 2009 年 12 月以来就知道它,它最常见的是 Vundo 感染的一个组成部分。WildersSecurity 是一个产品支持论坛,我们不会尝试发布有关每个威胁的信息(因为我们每天看到超过 250,000 个新文件)所以这就是为什么它没有被引用。)