Bagle这个2006年就出现的很老的病毒,让我见识了2010年的若干杀毒软件是多么的弱不禁风。尤其是备受国人推崇的小红伞10.0版本,在这个病毒面前简直是不堪一击,还没有反应过来就被病毒关闭,从此再也不能启动。
从电驴上下载了一个程序,运行后出现一个有汉字乱码的界面,上面还有子五棋的字样。运行后小红伞马上被关闭,尝试手工启动它的服务和扫描程序,提示“不是有效的Win32程序”。
病毒运行后的界面,竟然出现了子五棋的文字
我尝试在Linux下运行杀毒软件,心想在另一系统下清除病毒是毫不费力的事。先安装了Bitdefender,扫描确认是Bagle病毒,并且删除了两个sys文件。重启到Windows下之后,问题依旧。又下载Avast,扫描后发现了更多的Bagle踪迹,包括系统盘目录下的pagefile和hiberfil下面都有病毒。这个病毒另外还有一个很重要的位置C:\Documents and Settings\tux\Application Data\driver,在这个目录下有downld目录和一个winupgro.exe文件。我进入miniXP后删除了这个目录,创建了一个同名的目录并设置了任何人都不能访问的权限。重启到Windows下后,AVG可以正常安装并运行了。而在此之前刚运行杀毒软件安装程序,马上就会被关掉。
现在AVG正在扫描,看看是否会发现什么。而Nod32和小红伞虽然能装上,服务却怎么也启动不起来。
一个简单的结论:小红伞等杀毒软件并不神奇,很容易就被病毒关闭。Avast的Linux版本要好于Bitdefender的Linux版,因为查杀的Bagle数目更多。Nod32、小红伞、Macfee安装后无法运行的情况下,AVG 9顺利安装并运行,似乎说明它的自我保护能力要强大一点,虽然还是一如既往的误杀严重。
Malwarebytes' Anti-Malware查处的Bagle病毒所在位置
