好久沒寫程式了……
r-m-removal v1.3 的更新主要是針對最近 DR 發現的新品種惡意程式,這類惡意程式完全不經過 autorun(因此也就沒有任何 autorun 感染的特徵),而是將自己的執行檔偽裝成正常目錄來吸引使用者點擊。其感染模式如下:先將受感染磁碟(除了系統碟外)中的所有目錄設為隱藏,再丟入和原先目錄相同名稱的惡意檔案,惡意執行檔的外觀圖示和 Windows 目錄圖示完全相同,並且該惡意檔案在被點擊後還會「幫」使用者開啟原先的目錄以製造正常假象。r-m-removal 仍舊不負責整個系統的清除,但 v1.3 版會檢查磁碟中的隱藏目錄和可執行檔,並比較兩者名稱,若名稱相同則刪除該執行檔,這是針對目前已知的偽裝方式所做的處理。
沒有留言:
張貼留言