在測試前還有一個問題需要解決,那就是,由于此木馬卡巴斯基已經(jīng)可以查殺,運(yùn)行此木馬時,卡巴斯基會檢測到并將它刪掉,所以要想無障礙地運(yùn)行還需要對此樣本文件做一些免殺處理。做免殺筆者還沒這個能耐,不過筆者有黑客朋友會做免殺。經(jīng)過朋友的一番折騰,樣本真的不能被卡巴斯基7.0查到了。有了免殺樣本那就閑話少說,開始測試??!首先需要讓木馬完全跑起來看看行為。關(guān)閉卡巴斯基2010,雙擊樣本運(yùn)行后,桌面的樣本不見了,原來它在感染計(jì)算機(jī)后,會自動刪除自身。除此之外,計(jì)算機(jī)表面并沒有任何異樣。但事實(shí)上該木馬已經(jīng)感染了計(jì)算機(jī)。首先,我們打開系統(tǒng)的system32文件夾下,可以看到木馬釋放的文件,名稱為:xttp6J11x.exe 如下圖所示:

另外,此木馬還創(chuàng)建了一些注冊表項(xiàng),如下圖所示:

 

我們使用Sysinternals出品的網(wǎng)絡(luò)連接查看工具TCPView檢查一下目前計(jì)算機(jī)的聯(lián)網(wǎng)情況。不看不知道,一看真的嚇一跳,很明顯,該木馬已經(jīng)同遠(yuǎn)程主機(jī)建立起連接,正在偷偷進(jìn)行通訊。如下圖所示:

看來這種木馬威力還不小。以上測試是在沒有使用卡巴斯基2010安全免疫區(qū)的情況下運(yùn)行木馬后,計(jì)算機(jī)上的一些變化。

現(xiàn)在,我們將虛擬機(jī)恢復(fù)到未感染木馬的狀態(tài)下進(jìn)行新的測試。這次打開卡巴斯基2010。按理來說,這個樣本對于卡巴斯基7.0已經(jīng)是免殺的了,卡巴斯基應(yīng)該是不能通過特征碼比對檢測到此木馬的。所以筆者試著用卡巴斯基掃描一下該木馬,感覺也不應(yīng)該會被檢測到,然而卻發(fā)生了令筆者意想不到的事情:

卡巴斯基竟然報(bào)警了。原來雖然卡巴斯基沒有通過特征碼檢測到該木馬,但卡巴斯基的啟發(fā)式掃描引擎還是發(fā)現(xiàn)該文件是個木馬程序。這里不得不稱贊一下卡巴斯基的啟發(fā)式掃描,效果還是非常好的。

沒辦法,看來要想運(yùn)行此木馬,我們只有關(guān)閉卡巴斯基2010的實(shí)時保護(hù)了,否則不用運(yùn)行,只要一點(diǎn)擊文件,卡巴斯基就會報(bào)警然后將文件刪除掉。之后就是在安全免疫區(qū)中運(yùn)行木馬了。我們將木馬樣本添加到卡巴斯基的安全免疫區(qū)中,然后運(yùn)行。具體操作就是在卡巴斯基的安全免疫區(qū)中點(diǎn)擊添加,然后瀏覽找到該木馬,添加即可。如下圖所示:

運(yùn)行樣本后,桌面樣本沒有消失,而且也沒有其他異樣情況發(fā)生。那么到底有效果沒有呢?我們看一下系統(tǒng)的system32目錄下,是否有木馬釋放的文件,如下:

 

我們非常欣慰的看到,這次沒有了木馬釋放的xttp6J11x.exe文件的蹤跡??磥?,木馬應(yīng)該是沒有感染到計(jì)算機(jī)。為了進(jìn)一步證明,我們再打開注冊表看一下:

可以看到,木馬這次沒有能夠創(chuàng)建注冊表項(xiàng)。最后,我們再來看一下TCPView的顯示結(jié)果是否也正常。如下圖所示:

 

很明顯,網(wǎng)絡(luò)連接里面也沒有了木馬遠(yuǎn)程連接的蹤影,再一次證明了木馬沒有感染計(jì)算機(jī)。那木馬運(yùn)行后到底怎樣了呢?我們打開卡巴斯基安全免疫區(qū)共享文件夾,發(fā)現(xiàn)原來其釋放的文件被困在這里,不會對系統(tǒng)產(chǎn)生危害。如下圖所示:

經(jīng)過上述測試表明,卡巴斯基2010的安全免疫區(qū)的確可以避免病毒、木馬等惡意程序的突破,保護(hù)計(jì)算機(jī)系統(tǒng)本身的安全。在安全免疫區(qū)中運(yùn)行的程序被進(jìn)行了限制,它所做的操作不會對安全免疫區(qū)以外的正常系統(tǒng)造成任何影響。

筆者認(rèn)為,此功能十分實(shí)用,尤其是在遇到來歷不明,安全性未知的程序時,我們大可以將這些程序在卡巴斯基的安全免疫區(qū)內(nèi)運(yùn)行。這樣,即使是最新的反病毒軟件無法查殺到的病毒、木馬,也不會對我們產(chǎn)生危害。如果用戶能夠經(jīng)常使用此功能,感染病毒的幾率應(yīng)該會小很多。

分享到

yajing

相關(guān)推薦