中国石油大学论坛

标题: kv使用心得 [打印本页]

作者: gao0907 时间: 2008-4-25 13:24
标题: kv使用心得
kv使用心得
今天才注意到的一个,据说一运行就结束微点、卡巴和瑞星的进程，所以就优先试试咯先来认识一下，就是这个N人，运行完成任务后会自杀

果然，一运行，任务栏的红K马上不见了，同时发现无法显示隐藏的系统文件了，但可以显示隐藏的文件夹，用来迷惑新手还是可以的

无法杀毒，也看不见病毒文件，你也许会想起第三方工具了，但平时喜欢出风头混个脸熟的家伙象冰刃、SRENG现在保证昏迷中。。。。看看进程里kvsrvxp.exe还在不在，只要kvsrvxp.exe在，KV就没死，只要KV没死，呵呵，不就是外壳没了吗？剑还在就行。。。。。。

进入KV的安装文件夹，运行KVMonXP.kxp启动KV任务栏图标，刚恢复即被病毒结束。再试运行kvxp.kxp，出现

这个KV的帮助文档一闪而过，接着出现kvxp.kxp遇到问题需要关闭的提示，也是一闪而过。意料之中，接着依次找到并运行KvpViewer.exe（进程查看）、kvdetect.exe（未知扫描）、KVSysCheck.exe（系统诊断）、KVIETools.exe（安全助手）。如果你原来没有开启BOOTSCAN，那么还可以找到并运行SetupLd.exe（设置）~~扫描结果如下

注意，LSASS。EXE和SMSS。EXE的用户名不是SYSTEM，是病毒创建的，那个IE的进程也是病毒启动的，而且如果用KV安全助手还可以扫出这个IE进程的命令行，指向http://w.c0mo.com/r.htm 发现这个了，还不断网？这是常识，先断网再杀毒。

未知扫描出来后你也可以暂时不去清除，但一定记得先把扫出来的东西确认是毒的加入样本库（很重要）

病毒删除了所有启动项。。。

还有个比较流行的东西

接下来就好办了，先结束病毒进程，在进程查看里点选“结束进程并加入黑名单”，有趣的事情出现了，病毒和KV出现了创建和阻止的拉锯，拉锯中KV生气的把新创建的病毒进程的危险度从97%提高到了100%，我帮了KV一把，用系统诊断把病毒的隐藏文件删掉了（不帮的话KV最后好象也能赢）。

结束病毒进程后，进入KV的文件夹运行KVMonXP.kxp，熟悉的任务栏红K又回来了，剩下的就是简单劳动了，未知扫描，加入样本库，结束进程，扫描样本库，杀样本，系统诊断，进程、服务、驱动、隐藏文件和注册表扫描、安全助手扫描等等等，最好重复检查一下，特别是未知扫描和隐藏文件扫描，多扫几次，因为有时删掉部分病毒文件后才扫的出另一部分。

  最后说明一下，这是个文件感染型的病毒，感染后程序图标会变色，被感染的程序基本都是安全类的小工具，还有压缩工具和一部分需要连网的程序，幸好感染的不是系统文件。KV无法修复这次病毒对隐藏系统文件的选项的修改（好象是修改了访问权限？），需要平时的注册表备份，你备份了吗？
  KV的自我保护还是很强的，但希望KV的工程师能分析一下病毒结束KV的手段，在自我保护或主动防御上再进一步。病毒删除了KV的启动项，我这次没用自定义规则，所以不知针对此项自定义是否有效。看卡饭里的报告，有写入"启动"文件夹的动作，但我测试时没有，才想起我系统监控里唯一保留的自定义规则就是禁止写入"启动"文件夹，本意是用来对付某些不自觉的正常软件的，因为病毒用这个是比较弱智的。结果小人没来，小偷到来了。看来这个自定义规则还是有效的，其他的不知如何。。。。另外，KV的服务器模式和严厉模式对付此毒无效，因为一开始就。。。。。。
  不管怎么样，病毒清理完了，用KV的机子哪有那么容易挂的，你说是吧？

  补充：挺喜欢这个毒的，因为他不是很乱来，不全盘感染文件，只是按需来选择性感染，如安全工具，WINRAR，连网的程序，后来用自定义规则又试了一下，禁止创建自动播放文件，禁止修改文件夹访问权限（特别是用命令行）等等（还没试禁止病毒删除启动项的规则），再次运行，文件不再被病毒隐身，手动清除的过程明显轻松，结论，KV的防御规则在这种情况下还是有效的~~加上KV已把毒全部入库，再次查杀就简单多了，把进程禁止把杀毒界面恢复后杀毒即可，感染的文件可清除~~~结论，1、对于普通用户，装个防火墙还是有必要的，杀毒后在没有清除被感染的文件时可以发挥作用，除非你知道哪些被感染了卸载重新安装。2、自定义些规则或安装规则包可以最大限度的保证安全。3、可疑文件上报后，官方积极快速反应非常重要，特别是对付感染文件型的病毒~~

欢迎光临中国石油大学论坛 (http://upc.myubbs.com/)