先说说那个诡异的病毒:
开机和运行一会儿会用IE弹广告,
包括但不限于下面这些
www.fangjia.com
a.oadz.com
sgfy.wy213.com
www.131377.com
wonderadafa7.allyes.com
www.romaway.com
tongjihoutai.goonmax.cn
www.baobeilin.com
不过截止到现在,我还没发现有什么别的不良反应,也没有下载能被诺顿、nod32发现的病毒(不过这个文件也没被认为是病毒)。
用了我所知道的所有办法找启动项,都没有,进程里也没有相关的奇怪进程,每次弹出来的ie是svchost.exe以嵌入方式启动的,而svchost.exe看上去也是正常的,文件可以很顺利的删除,删了之后也不会重新生成。
无奈之下,只好一点一点排查。用诺顿的防火墙把所有进程的网络访问关了,只开22,25,80,115,连内核之类访问网络的权限都关了,运行了相当一段时间,似乎没事了。但今天在公司再次出现问题,和冲击波很像的,rpc服务异常终止需要重启。这个时候那个文件出现了,而且这段时间是写保护的。
既然如此,就怀疑用这些端口的软件了。22端口:SecurtCRT,应该是没问题;80端口:用的FF、都是正经网站,应该也没问题;只剩下收发邮件的outlook和端口了,之前有一点点小怀疑,因为一个.dll文件正常情况下应该是不会加载的而outlook这么自动的东西,保不齐有类似的自动功能。
开机没开outlook,没开防火墙,一个多钟了没报错呢。
续:
重装系统之后才发现,诺顿的防火墙有个单独的地方设置是否开共享,优先级还挺高,只要没有禁用所有传入,共享就是开着的。看来还是类似冲击波,通过共享的漏洞传播的。