我们的网络面临病毒问题,但我无法识别它,因此无法妥善处理它。
症状是病毒复制一个word文档(.doc),生成一个同名但扩展名为.exe的新档案,然后病毒会隐藏原始文件。
因此,当用户点击该文件时,它就会自我传播。
Symantec AV 似乎能够阻止它:每次病毒试图生成 exe 时,symantec 都会阻止它,但此时,原始文件已被转换为隐藏文件,因此用户认为该文件已被删除。
赛门铁克将其识别为一个简单的木马。我已经开始全面扫描,但什么也没发现。
我正在尝试了解病毒的名称以便对抗它。
有人有任何信息吗?
短暂性脑缺血发作,
鲍勃
答案1
如果一个 AV 程序无法完成这项工作,请换几个其他程序并用它们进行扫描。没有任何产品能够检测并删除全部病毒/恶意软件。
当遇到棘手的病毒时,我更喜欢从另一个正在运行的操作系统扫描驱动器。要么将该驱动器作为另一台机器上的第二个驱动器添加,要么使用带有 AV 软件的启动 CD。有许多病毒无法从正在运行的操作系统中清除。
答案2
之前在 Virut 和一些其他被 McAfee VirusScan 归类为 Generic PWS.g 的病毒中见过此类行为。
答案3
如果您可以获得该文件的“干净”样本,则可以将其上传到专门扫描病毒样本的网站。谷歌应该会给出执行此操作的网站列表。
我会尝试获取 Linux 的 liveboot CD 并以此方式访问文件,因为 Linux 不会执行 Windows 可执行文件(只要它没有运行 WINE),而 OpenOffice 不应该支持 Office 文档中的任何奇怪宏。即使它支持,有效载荷也应该被 Linux 惯例充分混淆,使其免受攻击。
然后我会获取该文件,将其上传到网站,这样你就会了解你正在处理什么。
这不像过去的美好时光,病毒就是病毒。如今,每个供应商都按照自己的惯例命名病毒,任何细微的变化都会突然变成一种新病毒(与我们的竞争对手相比,我们捕获了 180 亿个病毒!我们没有提到其中的 179 亿个只是打字错误!)
如果您不熟悉 Linux,您可以找一些有经验的人来帮忙。Linux 对我们解决此类问题来说是一个真正的礼物;它就像是一套厚重的环境清洁服,可以处理恶意软件,如果在尝试分析情况时发生“事故”,Windows 工作站就会瘫痪。
现场的 Macintosh 也可能能够以允许您将其上传到在线扫描仪的方式处理文档,只要您没有安装集成的 Windows 仿真器/虚拟化器(通过单击可执行文件来运行虚拟化 Windows 会话),并且如果您的文档使用某种形式的宏并且您安装了 Office,我不知道它是否会尝试运行某些宏。不过,无论如何,它应该会因平台差异而感到困惑……除非您集成了 WINE 或虚拟化器,从而意外感染了您的虚拟化环境。
答案4
对于这种事情我喜欢跑劫持此(http://free.antivirus.com/hijackthis/)在 PC 上。这会为您提供一个日志文件,其中提供了有关常见设置的提示,可能已经改变。IE 可能指出 PC 是从哪里被感染的。
日志文件可以在这里在线分析(不要认为该分析 100% 准确):
许多论坛也会查看 HijackThis 日志并给出很好的建议。
Secured2k 是一张带有几个非常好用的实用程序的启动 CD(见下文)
http://community.mcafee.com/thread/6923
此启动 CD 包含一个注册表编辑器和一个名为“自动运行“来自 Sysinternal。
自动运行会显示全部Windows 中可能的启动位置。当病毒将其路径添加到加载“Explorer.exe”的注册表项时,我发现这很有用。