博文
伪"安全软件" Perfect Defender 2009
||
今天用firefox浏览时突然弹出”Security Center Alert“对话框提示中毒,如图1,似乎只能点击“Enable Protection”,点击后浏览器直接链接到“www.perfectd-review.com/?a=112”,一个防间谍软件的主页。
其实firefox和安全中心(Security Center Alert)的联系并不大,两个软件提供的解决方案都同时指向一个主页,不由使人产生疑问,最大的疑问是,我安的是中文xp,安全中心的提示却都是英文的,显然不应该是系统本身的对话框。用VC的Spy++察看图1的对话框也表明其与MS系统的差异(不再赘述)。
虽然下载了Perfect Defender 2009,鉴于以上疑点,未轻易安装,其实该网站上所谓的Perfect Defender 2009是一个假冒的防间谍软件,一旦安装不但很难卸载而且其伪造不存在的中毒信息,并一直提示购买注册版(参见http://www.bleepingcomputer.com/virus-removal/remove-perfect-defender-2009)。
没有安装Perfect Defender 2009,但”Security Center Alert“每隔一段时间就会弹出来,firefox也不能正常浏览。看来肯定是中毒了,察看进程,似乎svchost.exe多了不少,有本用户的,有SYSTEM的,有NETWORK SERVICE的,先结束一个本用户的,注销,再次登陆,无效果,”Security Center Alert“依然会弹出来,firefox依然瘫痪。察看注册表的启动项[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun],无异常。安装MS的Windows Defender(因为xp是正版的,所以可以安装) ,扫描,无效果。因为firefox基本无法使用,于是切换到Fedora系统查找资料,检查xp的可疑文件,无果,再次进入xp,搜索本用户文件夹下2009年7月12日更改的所有文件,按类型排序,先检查可执行文件,依次更名,然后注销xp,登陆,启动firefox。终于在检查到”C:Documents and Settings本用户名Application DataGooglezlgai50494.exe“时,更名起到了效果,firefox启动正常,”Security Center Alert“不再弹出。查找注册表发现键值[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "realteks"=""C:\Documents and Settings\xiajing\Application Data\Google\zlgai50494.exe" 2" ,先前查注册表时并无此键,估计病毒启动便删除该键,关闭前再写入该键,所以病毒驻留的时候是查不到该键的。
本身不是研究计算机病毒的,也没有精力和时间再深入的探究下去,主程序zlgai50494.exe删除了,病毒不再发作了,也就没管是否还有其他相关程序、链接库以及注册表信息等,希望其他人再补充吧。
后记:
其实有些活是不应该自己干的,在用linux时充分理解了这一点,因为以前(包括现在也是)linux的不完善,用户需要花很多的时间进行维护管理,安装一个不支持的声卡就需要一两天,如果自己写驱动那就需要以月和年计算了,如果用户的工作必须要用到声卡而又不是研究计算机系统的(比如研究语音识别,语音压缩等),那编写声卡驱动是无意义的,花一两天安装一个不支持的声卡也是浪费时间的,同样花时间删除病毒也是费时的,这些工作应该是软件开发人员的事,包括开发声卡的驱动和没有漏洞的系统等,作为用户只需关心其自己的工作而不必为系统而困扰。
https://blog.sciencenet.cn/blog-43412-243229.html
上一篇:在fedora下禁用SCIM
下一篇:USB引导下的fedora linux安装
图1
另外当再单独打开一个浏览器窗口时并没有出现习惯了的google的主页,而是提示有毒,如图2,点击“Click here get full advanced real-time protection and continue browsing",又出现了“www.perfectd-review.com/?a=112”的页面。图2
其实firefox和安全中心(Security Center Alert)的联系并不大,两个软件提供的解决方案都同时指向一个主页,不由使人产生疑问,最大的疑问是,我安的是中文xp,安全中心的提示却都是英文的,显然不应该是系统本身的对话框。用VC的Spy++察看图1的对话框也表明其与MS系统的差异(不再赘述)。
虽然下载了Perfect Defender 2009,鉴于以上疑点,未轻易安装,其实该网站上所谓的Perfect Defender 2009是一个假冒的防间谍软件,一旦安装不但很难卸载而且其伪造不存在的中毒信息,并一直提示购买注册版(参见http://www.bleepingcomputer.com/virus-removal/remove-perfect-defender-2009)。
没有安装Perfect Defender 2009,但”Security Center Alert“每隔一段时间就会弹出来,firefox也不能正常浏览。看来肯定是中毒了,察看进程,似乎svchost.exe多了不少,有本用户的,有SYSTEM的,有NETWORK SERVICE的,先结束一个本用户的,注销,再次登陆,无效果,”Security Center Alert“依然会弹出来,firefox依然瘫痪。察看注册表的启动项[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun],无异常。安装MS的Windows Defender(因为xp是正版的,所以可以安装) ,扫描,无效果。因为firefox基本无法使用,于是切换到Fedora系统查找资料,检查xp的可疑文件,无果,再次进入xp,搜索本用户文件夹下2009年7月12日更改的所有文件,按类型排序,先检查可执行文件,依次更名,然后注销xp,登陆,启动firefox。终于在检查到”C:Documents and Settings本用户名Application DataGooglezlgai50494.exe“时,更名起到了效果,firefox启动正常,”Security Center Alert“不再弹出。查找注册表发现键值[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "realteks"=""C:\Documents and Settings\xiajing\Application Data\Google\zlgai50494.exe" 2" ,先前查注册表时并无此键,估计病毒启动便删除该键,关闭前再写入该键,所以病毒驻留的时候是查不到该键的。
本身不是研究计算机病毒的,也没有精力和时间再深入的探究下去,主程序zlgai50494.exe删除了,病毒不再发作了,也就没管是否还有其他相关程序、链接库以及注册表信息等,希望其他人再补充吧。
后记:
其实有些活是不应该自己干的,在用linux时充分理解了这一点,因为以前(包括现在也是)linux的不完善,用户需要花很多的时间进行维护管理,安装一个不支持的声卡就需要一两天,如果自己写驱动那就需要以月和年计算了,如果用户的工作必须要用到声卡而又不是研究计算机系统的(比如研究语音识别,语音压缩等),那编写声卡驱动是无意义的,花一两天安装一个不支持的声卡也是浪费时间的,同样花时间删除病毒也是费时的,这些工作应该是软件开发人员的事,包括开发声卡的驱动和没有漏洞的系统等,作为用户只需关心其自己的工作而不必为系统而困扰。
https://blog.sciencenet.cn/blog-43412-243229.html
上一篇:在fedora下禁用SCIM
下一篇:USB引导下的fedora linux安装
