shixinyu's Blog

之前的国际版兼容Windows 7的杀毒软件列表是直接简单翻译How-to-Geek的文章，这篇国产版得自己来测试得出了，试国产三大杀毒软件品牌是必不可少了：

江民杀毒软件2009，瑞星杀毒软件2009（Vista版），金山毒霸2009

再来一些国产佐料也是有意思的哦：

微点主动防御软件、费尔托斯特安全V7、光华杀毒软件

测试标准和国际版的那篇文章一样，除了可以正常工作在Windows 7下，还要能和Windows 7的“活动中心”的“病毒保护”通讯并报告状态。

江民杀毒软件2009

江民杀毒软件2009可以正常工作在Windows 7之下，并且在安装完成之后活动中心立即就可以得到江民杀毒软件2009的状态，但江民杀毒软件不能给活动中心报告病毒库是否最新，因为江民自己弹出气泡提示有50天没有更新病毒库，但却没有报告给活动中心。基本上可以认为江民杀毒软件2009可以兼容Windows 7。

瑞星杀毒软件2009（Vista版）

别的杀毒软件都是可以同时支持XP和Vista，不知道瑞星何解Vista版要单独下载，可能是底层驱动写的不一样的缘故。瑞星在Windows 7下安装完成后活动中心未能立即识别出瑞星，需要重启。重启之后在欢迎屏幕的左上角出现一个瑞星Logo，不过在Windows 7开始，输入法的按钮就放置在左上角了，瑞星的Logo恰好挡住了这里。这个Logo除了宣告这台机子安装了瑞星之外没有其它作用，不是特别有必要存在。进入桌面之后，Windows 7会报告瑞星杀毒软件病毒库过期了，需要更新，这说明瑞星可以跟Win7活动中心通讯并报告病毒库已过期需更新，这一点比江民好一点。瑞星还会接管防火墙，所以在“网络防火墙”（Network Firewall）这里会显示瑞星全功能安装软件。瑞星杀毒软件2009（Vista版）兼容Windows 7！

金山毒霸2009

金山毒霸2009在安装完成后活动中心立即可以得到金山毒霸2009的状态，并且金山毒霸2009可以给活动中心报告病毒库已过期需要更新。金山毒霸2009的文件实时监控可以启动，但是邮件监控无法启动，恶意行为拦截也无法启动。基本上可以认定金山毒霸2009仅可以部分兼容Windows 7。

微点主动防御软件 出局

微点在安装完之后需要联机更新，更新完成后，活动中心弹出气泡提示反馈“微点主动防御软件”被关闭需要启动，而微点提示需要重启计算机，不幸地是重启后就蓝屏了，提示mp110010.sys这个文件导致蓝屏错误。微点主动防御软件不兼容Windows 7，其底层驱动会导致蓝屏错误，强烈注意不要在Windows 7上安装使用微点。

费尔托斯特安全V7

费尔托斯特名字洋，但却是国产货，属于小众用安全软件。在Windows 7下安装完费尔托斯特之后，提示重启计算机，活动中心弹出气泡提示费尔托斯特已关闭需重启。重启之后，活动中心可以获得费尔托斯特安全V7的状态，基本上可以认定费尔托斯特安全V7兼容Windows 7。

光华杀毒软件

光华杀毒软件是获得微软认证的杀毒软件，也获得了Vista兼容认证。光华杀毒软件安装完成后无需重启Windows 7的活动中心即可识别出光华，并且光华杀毒软件通过API向“活动中心”发送的信息不止是杀毒软件的名字，还有主程序版本号和病毒库日期。光华杀毒软件兼容Windows 7。

这个兼容列表通过简单测试和体验得到，仅供参考。

标签： Security, Windows 7, 安全, 病毒

在Windows XP SP2开始引入的“安全中心”这个概念延续到Windows Vista之中，通过微软公开的API，杀毒软件可以与Windows安全中心通讯来让Windows安全中心获得杀毒软件的状态，包括杀毒软件更新。在Windows 7开始，“安全中心”整合进入“活动中心”（Action Center），杀毒软件的状态和更新在Windows 7的“活动中心”的“安全”（Security）部分下的“病毒保护”（Virus Protection）下查看，如下图所示：

当全新安装完成Windows 7 Build7000之后，系统通知区域会提示Windows找不到系统中的杀毒软件，如下图所示：

杀毒软件兼容Windows 7的标准除了能在Windows 7下正常执行实时监控和扫描以外，还应该能够通过API和Windows 7的“活动中心”（Action Center）进行通讯从而让Windows 7的“活动中心”获得杀毒软件的状态。这篇文章是测试那些截稿为止能够符合这些标准的杀毒软件的列表，具有时效性，不排除当下不兼容的杀毒软件在未来Windows 7正式版推出之后进行兼容编码，所以此文仅供参考。

AVG Anti-Virus Free Edition

AVG是微软官方已公开的兼容Windows 7的少数杀毒软件厂商，Windows 7的活动中心可以获得AVG Anti-Virus Free Edition的状态

Avira AntiVir Personal Edition

Avira经过快速测试没有发现兼容问题，同时也可以在活动中心中看到杀毒软件的状态。

Norton AntiVirus 2009

Norton也是微软官方公开的兼容Windows 7的少数杀毒软件品牌之一，同样地Windows 7的活动中心可以获得Norton AntiVirus 2009的状态

Avast! AntiVirus Home

Avast!在Windows 7上工作的也还好，活动中心也能获得其状态

Microsoft Windows Live OneCare 出局

微软自家的OneCare未经过Windows 7的考验，原因是压根不支持Windows 7而无法继续安装：

Kapersky Anti-Virus 2009

Kapersky是微软官方公开的兼容Windows 7的少数杀毒软件品牌之一，到目前为止只有三个杀毒软件品牌是获得微软官方兼容认可的。自然地，Kapersky Anti-Virus 2009也工作的很好，活动中心可以获知其状态。

McAfee VirusScan 出局

经网友反馈不能在Windows 7下工作

PCGuard Anti-Virus、ESET Nod32 Anti-Virus、Microsoft Forefront Client Security都可以正常工作在Windows 7下

这个列表由How-to-Geek撰写完成，特此说明。

标签： Norton, Security, Windows 7, 安全, 病毒

网页浏览不再安全

12月9日，微软ie7爆发“0day”漏洞，正常浏览网页也会中毒，互联网用户面临极度安全威胁。

中毒现象：IE假死、游戏帐号被盗、QQ帐号被盗

波及范围：所有基于IE7的浏览器和应用程序。如Maxthon、QQ、迅雷、MSN等

该0day漏洞是由金山安全中心发现，该免费检测服务同时由金山提供。

标签： 安全, 漏洞, 病毒

关键字词： wincfgs.exe autorun.exe KB20060111.exe TrojanSpy.USBSpy.a Worm.USBSpy.aj.42868 Trojan.Spy.UsbSpy.a Worm/Delf.AJ.1 Trojan.Agent.AAE Worm.Win32.Delf.aj

由于成功获取wincfgs.exe样本文件，可以准确分析此样本行为，在此谢谢Zhengxin朋友提供样本。

实际情况和《开机弹出无标题的记事本》一文分析的那样差不多，只是有些细节需要说明一下。

此样本有如下行为：

【创建注册表项】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
修改其下的名为Load注册表键的键值内容为“C:\windows\system32\wincfgs.exe”

【创建文件】
C:\WINDOWS\system32\wincfgs.exe（注释：和在移动存储设备中的autorun.exe是同一个文件）
C:\WINDOWS\KB20060111.exe（注释：纯粹是一个记事本程序）

【写入移动存储设备】
在移动存储设备中生成autorun.inf，其中的内容为
----------------------------------------------------
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe

----------------------------------------------------
并且在移动存储设备中生成名为RECYCLER的文件夹，在其下再生成名为RECYCLER的文件夹，在这个文件夹下生成desktop.ini文件，内容如下
----------------------------------------------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
----------------------------------------------------
这个desktop.ini将第二个RECYCLER文件夹伪装成回收站，在第二个RECYCLER文件夹中便存储着autorun.exe文件。

正是当接入移动存储设备后autorun.inf文件激活autorun.exe文件以至于中毒。

前文猜测这仅仅是一个Joke程序，但由于行为特点，被众多安全厂商定义为Worm（蠕虫病毒）。

此病毒的解决方法：
1、修改注册表
a.运行“regedit”启动注册表编辑器；
b.清空注册表键值内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的Load注册表键里的键值内容。（请不要将Load注册表键一并删除）

2、删除文件
C:\WINDOWS\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe

清理被感染的移动存储设备的方法：
删除移动存储设备下的autorun.inf文件，删除移动存储设备下的RECYCLER文件夹。
autorun.inf和RECYCLER文件夹均被隐藏，请先设置显示所有文件和文件夹选项才可以看到并删除。

国产三大（江民KV、瑞星、金山毒霸）均可查杀此蠕虫病毒/USB间谍，国外的Antivir、BitDefender、Dr.Web（驱逐舰）、卡巴斯基等均可查杀，使用这些安全软件的用户可以查杀并防御。

标签： Notepad, 病毒, 记事本

关键字词：无标题的记事本 开机弹出记事本 wincfgs.exe KB20060111.exe

近日在HelpOnline论坛中碰到如此案例，某用户反馈在接入自己的闪盘的计算机都会出现开机弹出无标题的记事本，很是烦人。

由于该用户提交样本时没有提交母体文件Wincfgs.exe，不能准确分析。只有分情况来讨论了。
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的，所以导致根源应该在闪盘上所存储的文件。

1、蠕虫病毒的可能性：
这个闪盘可能被感染有蠕虫病毒，在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况，不过蠕虫病毒至少需要激活，也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害，应该不至于称作蠕虫病毒，所以暂时定为Joke程序

2、autorun.ini的小把戏：
在这个闪盘中存储有autorun.ini，也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序，那么便会在双击打开闪盘的时候就激活了这个Joke程序。

当激活了这个Joke程序应该会有如下行为：
修改注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名为Load的注册表键为：
C:\windows\system32\wincfgs.exe

修改%SystemRoot%\Notepad.exe文件的文件名为KB20060111.exe（或其它文件名），或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe（或其它文件名）。

开机弹出的记事本便是这个KB20060111.exe文件了，诱发这个KB20060111.exe的启动可能不是常规启动项，而是wincfgs.exe这个文件启动（呼叫）KB20060111.exe文件的。

就是说KB20060111.exe这个文件并非病毒或者Joke程序本身，其实KB20060111.exe就是一个记事本程序（这也就是为什么 KB20060111.exe文件的图标也是一个记事本程序的图标的缘故）。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备 可能会再次传染这个移动存储设备。

那么解决办法就出来了：
1、修改注册表
a.运行“regedit”启动注册表编辑器；
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
由于没有得到wincfgs.exe样本文件，所以无法准确判断有关注册表项，但是可以直接使用Hijackthis修复类似这个项目：
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe

2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe

上述是解决被感染的计算机的解决办法，下面还要处理一下有问题的移动存储设备：
打开移动存储设备下的autorun.ini文件，查看其中指定的文件是哪个并且删除这个文件。
删除移动存储设备下的autorun.ini文件，这个文件一般是隐藏的，所以需要设置文件夹选项为显示所有文件和文件夹选项的。

标签： Notepad, 病毒, 记事本

在HelpOnline论坛上有一个案例关于开机提示对话 框提示“加载KB896435.log时出错，找不到指定的模块。”，由于没有获取该KB896435.log本体文件，无法确认是病毒还是木马或者广告 软件（流氓软件），所以暂且称之为病毒木马。这个案例中的用户安装有卡巴斯基杀毒软件，故而可以了解是卡巴斯基清除了这个KB896435.log病毒木 马，可惜和大多数杀毒软件一样，仅仅处理病毒木马本体文件，而不处理启动项等有关注册表项。所以就造成了这个开机提示对话框提示“找不到指定的模块”的问 题，如图：

通常情况下在开机显示类似提示对话框，首先会运行“msconfig”（Win2000不带“系统配置实用程序，可拷贝Windows XP下的msconfig.exe文件”），在“系统配置实用程序”的“启动”选项卡下找这个有关的启动项来去掉这个启动项的复选框。但是本案例在这里找 不到。通过SREng提交的智能扫描报告中也没有发现有关启动项，可见这个KB896435.log病毒木马并非通过常规手段来启动自身的。

在案例中引导用户去搜索在注册表中的记录，发现KB896435.log是通过隐藏服务手段来作为启动项启动的，这就可以说明SREng扫描不到的原因了。

对这个KB896435.log病毒木马的处理办法为：

本体文件通常存储在 %SystemRoot%\system32 下，文件名为KB896435.log。
即删除 %SystemRoot%\system32\KB896435.log 这个文件。

运行“regedit”启动注册表编辑器，展开至：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Services

在上面的这些注册表项中删除名为 NetWorkLogon 的注册表项即可。本案例即是在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services下删除名为 NetWorkLogon 的注册表项解决问题的。

本案例处理方法来自HelpOnline论坛：
http://help-online.org/bbs/thread-2827-1-1.html

对于这一类的隐藏服务、驱动，我们可以用RootkitRevealer来扫描出来。

标签： 病毒