在測試前還有一個問題需要解決，那就是，由于此木馬卡巴斯基已經(jīng)可以查殺，運(yùn)行此木馬時，卡巴斯基會檢測到并將它刪掉，所以要想無障礙地運(yùn)行還需要對此樣本文件做一些免殺處理。做免殺筆者還沒這個能耐，不過筆者有黑客朋友會做免殺。經(jīng)過朋友的一番折騰，樣本真的不能被卡巴斯基7.0查到了。有了免殺樣本那就閑話少說，開始測試??！首先需要讓木馬完全跑起來看看行為。關(guān)閉卡巴斯基2010，雙擊樣本運(yùn)行后，桌面的樣本不見了，原來它在感染計(jì)算機(jī)后，會自動刪除自身。除此之外，計(jì)算機(jī)表面并沒有任何異樣。但事實(shí)上該木馬已經(jīng)感染了計(jì)算機(jī)。首先，我們打開系統(tǒng)的system32文件夾下，可以看到木馬釋放的文件，名稱為：xttp6J11x.exe 如下圖所示：

另外，此木馬還創(chuàng)建了一些注冊表項(xiàng)，如下圖所示：

我們使用Sysinternals出品的網(wǎng)絡(luò)連接查看工具TCPView檢查一下目前計(jì)算機(jī)的聯(lián)網(wǎng)情況。不看不知道，一看真的嚇一跳，很明顯，該木馬已經(jīng)同遠(yuǎn)程主機(jī)建立起連接，正在偷偷進(jìn)行通訊。如下圖所示：

看來這種木馬威力還不小。以上測試是在沒有使用卡巴斯基2010安全免疫區(qū)的情況下運(yùn)行木馬后，計(jì)算機(jī)上的一些變化。

現(xiàn)在，我們將虛擬機(jī)恢復(fù)到未感染木馬的狀態(tài)下進(jìn)行新的測試。這次打開卡巴斯基2010。按理來說，這個樣本對于卡巴斯基7.0已經(jīng)是免殺的了，卡巴斯基應(yīng)該是不能通過特征碼比對檢測到此木馬的。所以筆者試著用卡巴斯基掃描一下該木馬，感覺也不應(yīng)該會被檢測到，然而卻發(fā)生了令筆者意想不到的事情：

卡巴斯基竟然報(bào)警了。原來雖然卡巴斯基沒有通過特征碼檢測到該木馬，但卡巴斯基的啟發(fā)式掃描引擎還是發(fā)現(xiàn)該文件是個木馬程序。這里不得不稱贊一下卡巴斯基的啟發(fā)式掃描，效果還是非常好的。

沒辦法，看來要想運(yùn)行此木馬，我們只有關(guān)閉卡巴斯基2010的實(shí)時保護(hù)了，否則不用運(yùn)行，只要一點(diǎn)擊文件，卡巴斯基就會報(bào)警然后將文件刪除掉。之后就是在安全免疫區(qū)中運(yùn)行木馬了。我們將木馬樣本添加到卡巴斯基的安全免疫區(qū)中，然后運(yùn)行。具體操作就是在卡巴斯基的安全免疫區(qū)中點(diǎn)擊添加，然后瀏覽找到該木馬，添加即可。如下圖所示：

運(yùn)行樣本后，桌面樣本沒有消失，而且也沒有其他異樣情況發(fā)生。那么到底有效果沒有呢？我們看一下系統(tǒng)的system32目錄下，是否有木馬釋放的文件，如下：

我們非常欣慰的看到，這次沒有了木馬釋放的xttp6J11x.exe文件的蹤跡?？磥?，木馬應(yīng)該是沒有感染到計(jì)算機(jī)。為了進(jìn)一步證明，我們再打開注冊表看一下：

可以看到，木馬這次沒有能夠創(chuàng)建注冊表項(xiàng)。最后，我們再來看一下TCPView的顯示結(jié)果是否也正常。如下圖所示：

很明顯，網(wǎng)絡(luò)連接里面也沒有了木馬遠(yuǎn)程連接的蹤影，再一次證明了木馬沒有感染計(jì)算機(jī)。那木馬運(yùn)行后到底怎樣了呢？我們打開卡巴斯基安全免疫區(qū)共享文件夾，發(fā)現(xiàn)原來其釋放的文件被困在這里，不會對系統(tǒng)產(chǎn)生危害。如下圖所示：

經(jīng)過上述測試表明，卡巴斯基2010的安全免疫區(qū)的確可以避免病毒、木馬等惡意程序的突破，保護(hù)計(jì)算機(jī)系統(tǒng)本身的安全。在安全免疫區(qū)中運(yùn)行的程序被進(jìn)行了限制，它所做的操作不會對安全免疫區(qū)以外的正常系統(tǒng)造成任何影響。

筆者認(rèn)為，此功能十分實(shí)用，尤其是在遇到來歷不明，安全性未知的程序時，我們大可以將這些程序在卡巴斯基的安全免疫區(qū)內(nèi)運(yùn)行。這樣，即使是最新的反病毒軟件無法查殺到的病毒、木馬，也不會對我們產(chǎn)生危害。如果用戶能夠經(jīng)常使用此功能，感染病毒的幾率應(yīng)該會小很多。

yajing