我提前为这篇冗长的帖子道歉。我把所有信息都发上去是因为我认为这些信息很有帮助。另外,我在最后贴出了我的问题。
刚才,我通过 RDC 连接到了我家的文件服务器(从家里)。我打开了 Firefox,并在 Google 上搜索了制造商的网站。单击链接后,Firefox 立即突然关闭。这对我来说似乎很奇怪,所以我检查了正在运行的进程,发现 d.exe、e.exe 和 f.exe 正在运行。
我在另一台机器上用 Google 搜索了这些进程,发现它们属于一个名为 defender.exe 的键盘记录器/屏幕捕获器/木马,根据 Prevx 的说法,它位于 c:\documents and settings\user\local settings\temp 中。(Prevx 链接http://www.prevx.com/filenames/147352809685142526-X1/DEFENDER32.EXE.html)
同时,服务器上出现了一个明显是欺骗的 Windows 防火墙弹出窗口,要求我单击“是”来更新 Windows 防火墙。
此时,我结束了所有恶意进程,清空了临时文件夹,从启动中删除了 defender.exe,并检查了我的注册表和其他几个位置。在删除 Defender.exe 之前,我注意到它是在 Firefox 崩溃之前不久创建的。我相信我“几乎”感染了这种恶意软件。我相信它需要我点击虚假的弹出窗口才能完成感染,因为它不允许从临时文件夹执行进程。清理机器后,我重新启动了它,并对其进行了超过一个小时的监控。我正在考虑是否要恢复 Windows 分区(与数据分开的物理驱动器)或只是观察它一段时间。
我应该提到,由于这台机器的规格,我没有运行防病毒软件,但我很了解它并定期检查它。这是一台非常老旧的 Compaq 电脑,配有 400MHz 处理器和 512MB 内存。我有一个静态 IP,服务器位于 DMZ 中,运行着一个 FTP 客户端和一些 HTTP 服务器软件。传输到这台机器并存储在这台机器上的所有文件在传输前都会进行恶意软件扫描。通常这台机器只运行 19 个进程,并且性能相当不错,可以满足其预期用途。
我发布这个故事是为了让您了解可能的新恶意软件及其行为方式,但我也有一个或两个问题。首先,在过去的几个月里,我注意到在研究恶意软件时,PREVX 在我的大多数 Google 搜索中都位于顶部,尤其是针对新的或不为人知的恶意软件……而且他们总是希望您购买某些东西。我不认为他们是最顶尖的 AV 公司之一,因此他们总是在 Google 搜索结果中名列前茅似乎很奇怪。有人用过他们的任何产品吗?
另外,您依靠哪些网站来研究恶意软件?最近,我发现很难找到有用的信息,因为 HijackThis-logs 和其他死胡同信息扰乱了我的搜索。
最后,除了防病毒软件、第三方防火墙等之外,当像我这样的固执的管理员拒绝运行 AV 时,您会使用哪些设置来锁定机器以使其更安全?
谢谢。
答案1
一旦它在您的服务器上创建了一个进程,我就会认为它被黑客入侵了。是时候重新加载或恢复了。确保所有更新都已设置并锁定它。
答案2
您说该盒子位于 DMZ 中,仅运行 FTP 客户端和 HTTP 服务器。您还说正在传输的文件(可能是使用 FTP 客户端传输的)会被扫描。所以,您并不完全反对 AV。所以,我猜最终的答案是,不要在这台机器上使用 Web 浏览器。这是确保安全的最快途径,并遵守许多常见的安全原则。prevx.com 是恶意软件研究的糟糕资源。除非您非常好奇、在虚拟机中工作并且喜欢驱动下载,否则我会避免使用它。
答案3
请运行防病毒软件。即使每周或每月仅运行一次,并且没有“始终开启”的活动扫描程序。
答案4
Prevx 绝对是合法的。他们可能是最热情的安全专家之一。他们往往是第一个、也是唯一一个知道新感染情况的安全供应商,这并不奇怪。这完全归功于他们使用基于云的技术,利用他们现在相当可观的客户群来帮助他们首先发现新感染。而且它的效果非常好。4 月/5 月,PC Magazine 赞扬了这些人,并将他们的 Prevx 3.0 编辑选择评为反恶意软件的顶级或并列顶级,几乎在每一个类别中都是顶级的。他们的清理功能也非常好,扫描速度惊人。
如果你仍然不相信,请前往 Wilders Security 论坛http://www.wilderssecurity.comPrevx 官方论坛的聚集地。
我希望这对您提出的问题有所帮助。