2008-05-03
目前杀木马的手法
经过木马初期极简单的伪装、存活手段后,如今的木马越来越复杂,越来越狡猾,生存能力大为提高,原来对付它的一些手段相继失效。木马日益从单独可执行文件转向进程注入,从单文件向双文件、多文件过渡,技术含量高的还有 RootKit,使得被发现的难度日益提高,杀除难度也是如此。单文件运行的进程要中止很容易,而一旦扯到多进程互相监控、注入到系统进程里的线程、注册表多处实时监控,就十分棘手,因为手的速度再快,总快不过电脑。良心好一点的十秒钟刷新一次,良心大大坏掉的一秒种刷新一次,不但加重了系统负担(系统资源占用上升也是判断木马的一个标志之一),更给杀除它带来很大困难。不借助任何专杀工具(因为有时候实在无法判断是哪种恶意程序,现在的恶意程序实在太多,而且并不是随时都有网络连接可以提供),不依靠任何杀毒软件(这玩意儿并不可靠,有时还是造成系统问题的罪魁祸首,比如2008年4月28日的瑞星误杀事件),真的就无法手工杀除这种木马了吗?答案当然是否定的。
首先我要介绍的神兵利器是微软官方推荐的 autoruns 工具。这个软件是 sysinternals 工具包内容之一,它的下载地址是 http://download.sysinternals.com/Files/SysinternalsSuite.zip 。里面的 procexp(简称 PE)经常和它搭配使用,但随着木马独立运行文件越来越少、线程注入系统进程和 RootKit 越来越多,PE 已日益不能满足工作需要,这里就不说了。autoruns 是一款看系统启动自动加载内容的软件,从各个角落,包括“程序”的“启动”,注册表的“run”,服务,IE 的加载项,驱动,把系统启动时会自动加载的内容全都列出来供您过目。这些并不是最高境界,它还可以通过数字签名来验证文件是否是里面标示的公司的原厂出品,这在判断有些冒充微软公司出品的文件时很有效。当然,大多数木马文件是不屑于在文件里加上公司标识的。
在菜单“Options”、“Verify code signature”上打上勾,再刷新一下,这时列出来的加载项的“Pulisher”一列的公司名前,会加上“Verified”或“Not verified”。这样,在查找加载项目时,只要关注于没有通过验证或根本没有公司名的文件即可。如果在上面“Options”菜单里选中“Hide Signed Microsoft Entris”把所有通过验证的微软项目都去掉,那就更方便了。当然,并不是只要是微软通过验证的项目就一定安全,比如,可以通过 rundll32 来加载链接库文件,而 rundll32 是微软官方提供的。
通过经常使用这个软件,您可以对系统中正常加载的项目有个比较精确的了解,这样在判断是否是新出现的文件、是否是恶意文件时会有很大帮助。好,所有的准备工作都做好了,所有的恶意文件都被你定位,这时该怎么办?当然是删除文件,删除注册表项。这时就会遇到上文讨论过的现象:所有的文件(前两次杀木马时系统中这样的文件都超过十个)都互相监控,一旦中止并删除一个会被立即补上并立即恢复活动状态,而注入系统进程的链接库文件用常规手段根本无法灭活,用 unlocker 会导致系统关键进程崩溃;所有注册表中关于恶意程序的项目被实时监控,一旦删除会被立即恢复。这时,你想到什么主意没有?
在介绍杀木马之前,先介绍一下 XP 系统的一个特性:无论是程序文件,还是链接库文件,在处于活动时不能被删除(废话),但可以改名。这时就方便了。我是这么操作的:找到文件,对文件名缓慢点两下进入改名状态,先复制原文件名,然后再把文件名改成随便什么名字,我一般是将其扩展名删除;然后点击“文件”、“新建”、“文件夹”,然后把新建的文件夹命名为复制下来的名字。这样,恶意文件仍在运行,但它不知道已经被注销户口并被一个文件夹占了位置,因为在进程表中它的名字并未改变。如此,将所有找到的恶意文件全部进行改名处理(一定要找到所有启动文件,这点很重要)。为确保恶意文件在关机时不会检测文件名(我没遇到过,但不保证没有),这时使用突然死亡法——拔去电源。不要怕,只要你当时没有进行大规模磁盘写操作,一般来说没有问题。然后,重新启动。如果一切顺利,你会发现所有的木马都处于沉默状态——它们都睡着了,因为所有注册表中的启动项指向的都是文件夹,而文件夹是不能运行的。这时找到它们的尸体——那些被去掉扩展名的文件,你爱怎么处理就怎么处理吧:可以直接删除,也可以发给杀毒软件公司,如果你良心坏一点,可以保存下来害人——当然,我是十分反对的。验证一下,把刚才建的那些文件夹都删掉,看看会不会再出现同名文件。如果没有再出现,并且重启后仍然没有出现,那么恭喜你,宰马成功。
杀马并不以马死为结束,这时要进行善后工作:检查防火墙状态,确保没有被打洞;检查组策略,看看空用户名禁止远程登录,确保被启用;检查系统中没有多余的用户名,已有的用户没有被提权;以及其他一些我现在没有想到而你想到的。
首先我要介绍的神兵利器是微软官方推荐的 autoruns 工具。这个软件是 sysinternals 工具包内容之一,它的下载地址是 http://download.sysinternals.com/Files/SysinternalsSuite.zip 。里面的 procexp(简称 PE)经常和它搭配使用,但随着木马独立运行文件越来越少、线程注入系统进程和 RootKit 越来越多,PE 已日益不能满足工作需要,这里就不说了。autoruns 是一款看系统启动自动加载内容的软件,从各个角落,包括“程序”的“启动”,注册表的“run”,服务,IE 的加载项,驱动,把系统启动时会自动加载的内容全都列出来供您过目。这些并不是最高境界,它还可以通过数字签名来验证文件是否是里面标示的公司的原厂出品,这在判断有些冒充微软公司出品的文件时很有效。当然,大多数木马文件是不屑于在文件里加上公司标识的。
在菜单“Options”、“Verify code signature”上打上勾,再刷新一下,这时列出来的加载项的“Pulisher”一列的公司名前,会加上“Verified”或“Not verified”。这样,在查找加载项目时,只要关注于没有通过验证或根本没有公司名的文件即可。如果在上面“Options”菜单里选中“Hide Signed Microsoft Entris”把所有通过验证的微软项目都去掉,那就更方便了。当然,并不是只要是微软通过验证的项目就一定安全,比如,可以通过 rundll32 来加载链接库文件,而 rundll32 是微软官方提供的。
通过经常使用这个软件,您可以对系统中正常加载的项目有个比较精确的了解,这样在判断是否是新出现的文件、是否是恶意文件时会有很大帮助。好,所有的准备工作都做好了,所有的恶意文件都被你定位,这时该怎么办?当然是删除文件,删除注册表项。这时就会遇到上文讨论过的现象:所有的文件(前两次杀木马时系统中这样的文件都超过十个)都互相监控,一旦中止并删除一个会被立即补上并立即恢复活动状态,而注入系统进程的链接库文件用常规手段根本无法灭活,用 unlocker 会导致系统关键进程崩溃;所有注册表中关于恶意程序的项目被实时监控,一旦删除会被立即恢复。这时,你想到什么主意没有?
在介绍杀木马之前,先介绍一下 XP 系统的一个特性:无论是程序文件,还是链接库文件,在处于活动时不能被删除(废话),但可以改名。这时就方便了。我是这么操作的:找到文件,对文件名缓慢点两下进入改名状态,先复制原文件名,然后再把文件名改成随便什么名字,我一般是将其扩展名删除;然后点击“文件”、“新建”、“文件夹”,然后把新建的文件夹命名为复制下来的名字。这样,恶意文件仍在运行,但它不知道已经被注销户口并被一个文件夹占了位置,因为在进程表中它的名字并未改变。如此,将所有找到的恶意文件全部进行改名处理(一定要找到所有启动文件,这点很重要)。为确保恶意文件在关机时不会检测文件名(我没遇到过,但不保证没有),这时使用突然死亡法——拔去电源。不要怕,只要你当时没有进行大规模磁盘写操作,一般来说没有问题。然后,重新启动。如果一切顺利,你会发现所有的木马都处于沉默状态——它们都睡着了,因为所有注册表中的启动项指向的都是文件夹,而文件夹是不能运行的。这时找到它们的尸体——那些被去掉扩展名的文件,你爱怎么处理就怎么处理吧:可以直接删除,也可以发给杀毒软件公司,如果你良心坏一点,可以保存下来害人——当然,我是十分反对的。验证一下,把刚才建的那些文件夹都删掉,看看会不会再出现同名文件。如果没有再出现,并且重启后仍然没有出现,那么恭喜你,宰马成功。
杀马并不以马死为结束,这时要进行善后工作:检查防火墙状态,确保没有被打洞;检查组策略,看看空用户名禁止远程登录,确保被启用;检查系统中没有多余的用户名,已有的用户没有被提权;以及其他一些我现在没有想到而你想到的。
2008-04-30
2008-04-26
西藏为什么要独立!(据说转自台湾省一位网友)
在14世代的传承中,有好几任达赖喇嘛都是英年早逝,原因很简单,利益斗争,下毒暗杀,这就是为什么清朝朝廷最后给他们定下一个金瓶制度的原因,乾隆实在受不了这帮喇嘛们明争暗斗的暗杀了。这里就可以看出这些神权统治者的虚伪,自称“活佛”的人们为了利益勾心斗角,下毒暗杀,使尽卑鄙的手段。
我曾经去过西藏旅游,接触过喇嘛,以及平民。
你想知道西藏为什么会有矛盾吗?我告诉你我看到的原因。
在中共进入前的西藏,西藏人口中有95%的农奴,以及剩下的土司(奴隶主)和僧侣阶层。
那时候,每座寺庙,都拥有大片的土地,和成堆的农奴。
农奴们世代为奴,在祭祀的时候,奴隶主会砍下奴隶的手臂,剥下它们的皮,作为贡品。在达赖过生日的时候,他都会命下密院的僧侣扒下两个小孩的皮作为牺牲,如果你现在去西藏的历史博物館,你还能看到十四世达赖离开西藏前亲手写的扒皮命令。
然而西藏的那些文盲农奴们虔诚地信仰着活佛。你大概不知道在藏药中,活佛的粪便是一种药物,藏民们争相收集活佛们的粪便用于治病。奴隶主在招待客人的时候,待客的方法就是和客人一起轮奸自己的女奴隶,这很容易理解,他们认为这是热情好客的体现,因为这是在“分享女人”。
中共在西藏搞了“土地改革”,不过老共的手段是很狠的,那些奴隶主甭管是否愿意,都必須交出土地,释放奴隶,免除债务。土地改革是在1957年开始搞的,接着西藏就爆发了武裝暴动,奴隶主们反抗了,然后就是中共的镇压,接着是达赖的出逃,但是,班禅没有逃,他选择留了下来,因为他赞成土地改革。
这也造成了西藏的一种特殊的“族群分裂”:平民与僧侣阶层的割裂。那些底层的老百姓藏民们,如果你去西藏玩的时候,可以留意一下,西藏一般的农牧民家中,都是把毛泽东的肖像和菩萨挂在一起供奉的,因为他们的祖辈都是农奴,是毛给了他们土地和自由。老共现在的民族政策,藏族的教育医疗住房全部都有政府的补助,这也是一般的平民藏族百姓对独立不积极的原因。
但是僧侣以及以前的土司后代可不这么想,在他们眼中,毛泽东和中共是剥夺他们土地和财产的罪人,不仅如此,在历次的中共镇压中,这些人的上辈或者亲属,或有被关押或有被枪決,可谓苦大仇深。
所以你如果走在拉萨街头,你会发现宣传独立最积极的人,不是喇嘛就是以前的贵族后代。
这些人一直在闹,中共拿他们没办法,因为在西藏这个地方,教育太落后了,藏族的文化太落后了,这也是他们为什么如此虔诚地信仰神灵的原因,你能想象一个拿到物理学硕士的人去寺庙里对那些泥菩萨磕上十万的头么?但是藏民会,藏民会把家里最聪明的孩子送去作喇嘛,因为在他们的传统中,社会是分等级的,喇嘛是最高贵的,这就是神权社会的典型特点。
因为有着这种神权社会的特点,所以中共对喇嘛是很头疼的。你大概不知道,西藏的每座寺庙的活佛,都享受中共国务院的特殊补助的,换句话说,是中共在养寺庙,养喇嘛,你看每座寺庙都金碧辉煌,这些金子钱都是内地的政府出的。
但是喇嘛们还是会闹事的。很简单,你再怎么給他们补助,他们以前的土地没了,势力也没了,风光的社会地位也削弱了,他们不满。
西藏人如果想要一个幸福的未来,喇嘛阶层是最大的绊脚石。你知道现在最想发展西藏文化的是谁吗?是中共。因为最听从喇嘛的话,最容易被操纵的,就是那些文化水平很低的藏民了。
所以中共在西藏使劲地盖学校,内地的大学毕业生如果志愿去西藏教几年书,回来后就可以免费读硕士博士,内地的大学对西藏的学生向来是超低分录取。不过,在一个平均海拔5000米的地区,特別是半年都是积雪的地区,办学校和医院不是那么容易的事情。西藏有30多个台湾大,但是人口不及台北的一半。怎么才能让居住如此分散的游牧人都能接受教育?这需要高昂的投资。
中共的想法就是,藏族的文化水平能够高起来,不再那么愚昧,当所有的藏民生病的时候能去医院作个检查,而不是去寺庙吃活佛的粪便的时候,喇嘛们也就没那么容易煽动藏民了,西藏也就好管理多了,当然这样的话喇嘛也没市场和地位了,这就是喇嘛们目前所面临的“生存危机”。所以中共在西藏盖的学校和医院,是这次西藏动乱中的首选攻击目标。
喇嘛们是容不得藏民学习文化的,一个学过生物学的人,他生病的时候会去找喇嘛们吃粪便吗?
喇嘛们不是地球上唯一阻碍科学传播的人。还记得黑暗的欧洲中世紀吗?还记得宗教法庭吗?当科学和知识传播的时候,神权统治者们就会发抖,当藏民们知道地球是圆的,绕着太阳转的时候,他们就再也不会相信喇嘛们说的大地边缘的十八层地狱。
西藏,正处于一个现代文明和神权文化阶层剧烈冲突的时代。
正如宗教法庭绝对不会饶过哥白尼和伽利略,他们不会自觉地退出历史舞台,喇嘛们也是。所以这个文明冲撞的过程中,你必然会看到斗争,明的,暗的,和平的,暴力的,決不会戛然而止。
撕开“人权”“自由”的外衣,这是一场神权奴隶制与现代文明的冲突。
中共如果真的想把西藏经营好,让西藏人们都过上富裕现代化的生活,就应该多盖学校和监狱,学校送给藏民,监狱送给喇嘛。
我建议各位网路上的朋友们去西藏玩一玩,不要跟旅行团,也不要只去寺庙,去乡村,去草原,去看看西藏的原生态,去那些农牧民的家中,看看他们对中共和毛泽东的观点,看看他们辛勤的劳作,看看他们作过奴隶的祖父祖母那残缺的手臂,和没有文化的朴实,再去看看喇嘛们悠闲舒适的的生活,听听他们对政府的不满。
我曾经去过西藏旅游,接触过喇嘛,以及平民。
你想知道西藏为什么会有矛盾吗?我告诉你我看到的原因。
在中共进入前的西藏,西藏人口中有95%的农奴,以及剩下的土司(奴隶主)和僧侣阶层。
那时候,每座寺庙,都拥有大片的土地,和成堆的农奴。
农奴们世代为奴,在祭祀的时候,奴隶主会砍下奴隶的手臂,剥下它们的皮,作为贡品。在达赖过生日的时候,他都会命下密院的僧侣扒下两个小孩的皮作为牺牲,如果你现在去西藏的历史博物館,你还能看到十四世达赖离开西藏前亲手写的扒皮命令。
然而西藏的那些文盲农奴们虔诚地信仰着活佛。你大概不知道在藏药中,活佛的粪便是一种药物,藏民们争相收集活佛们的粪便用于治病。奴隶主在招待客人的时候,待客的方法就是和客人一起轮奸自己的女奴隶,这很容易理解,他们认为这是热情好客的体现,因为这是在“分享女人”。
中共在西藏搞了“土地改革”,不过老共的手段是很狠的,那些奴隶主甭管是否愿意,都必須交出土地,释放奴隶,免除债务。土地改革是在1957年开始搞的,接着西藏就爆发了武裝暴动,奴隶主们反抗了,然后就是中共的镇压,接着是达赖的出逃,但是,班禅没有逃,他选择留了下来,因为他赞成土地改革。
这也造成了西藏的一种特殊的“族群分裂”:平民与僧侣阶层的割裂。那些底层的老百姓藏民们,如果你去西藏玩的时候,可以留意一下,西藏一般的农牧民家中,都是把毛泽东的肖像和菩萨挂在一起供奉的,因为他们的祖辈都是农奴,是毛给了他们土地和自由。老共现在的民族政策,藏族的教育医疗住房全部都有政府的补助,这也是一般的平民藏族百姓对独立不积极的原因。
但是僧侣以及以前的土司后代可不这么想,在他们眼中,毛泽东和中共是剥夺他们土地和财产的罪人,不仅如此,在历次的中共镇压中,这些人的上辈或者亲属,或有被关押或有被枪決,可谓苦大仇深。
所以你如果走在拉萨街头,你会发现宣传独立最积极的人,不是喇嘛就是以前的贵族后代。
这些人一直在闹,中共拿他们没办法,因为在西藏这个地方,教育太落后了,藏族的文化太落后了,这也是他们为什么如此虔诚地信仰神灵的原因,你能想象一个拿到物理学硕士的人去寺庙里对那些泥菩萨磕上十万的头么?但是藏民会,藏民会把家里最聪明的孩子送去作喇嘛,因为在他们的传统中,社会是分等级的,喇嘛是最高贵的,这就是神权社会的典型特点。
因为有着这种神权社会的特点,所以中共对喇嘛是很头疼的。你大概不知道,西藏的每座寺庙的活佛,都享受中共国务院的特殊补助的,换句话说,是中共在养寺庙,养喇嘛,你看每座寺庙都金碧辉煌,这些金子钱都是内地的政府出的。
但是喇嘛们还是会闹事的。很简单,你再怎么給他们补助,他们以前的土地没了,势力也没了,风光的社会地位也削弱了,他们不满。
西藏人如果想要一个幸福的未来,喇嘛阶层是最大的绊脚石。你知道现在最想发展西藏文化的是谁吗?是中共。因为最听从喇嘛的话,最容易被操纵的,就是那些文化水平很低的藏民了。
所以中共在西藏使劲地盖学校,内地的大学毕业生如果志愿去西藏教几年书,回来后就可以免费读硕士博士,内地的大学对西藏的学生向来是超低分录取。不过,在一个平均海拔5000米的地区,特別是半年都是积雪的地区,办学校和医院不是那么容易的事情。西藏有30多个台湾大,但是人口不及台北的一半。怎么才能让居住如此分散的游牧人都能接受教育?这需要高昂的投资。
中共的想法就是,藏族的文化水平能够高起来,不再那么愚昧,当所有的藏民生病的时候能去医院作个检查,而不是去寺庙吃活佛的粪便的时候,喇嘛们也就没那么容易煽动藏民了,西藏也就好管理多了,当然这样的话喇嘛也没市场和地位了,这就是喇嘛们目前所面临的“生存危机”。所以中共在西藏盖的学校和医院,是这次西藏动乱中的首选攻击目标。
喇嘛们是容不得藏民学习文化的,一个学过生物学的人,他生病的时候会去找喇嘛们吃粪便吗?
喇嘛们不是地球上唯一阻碍科学传播的人。还记得黑暗的欧洲中世紀吗?还记得宗教法庭吗?当科学和知识传播的时候,神权统治者们就会发抖,当藏民们知道地球是圆的,绕着太阳转的时候,他们就再也不会相信喇嘛们说的大地边缘的十八层地狱。
西藏,正处于一个现代文明和神权文化阶层剧烈冲突的时代。
正如宗教法庭绝对不会饶过哥白尼和伽利略,他们不会自觉地退出历史舞台,喇嘛们也是。所以这个文明冲撞的过程中,你必然会看到斗争,明的,暗的,和平的,暴力的,決不会戛然而止。
撕开“人权”“自由”的外衣,这是一场神权奴隶制与现代文明的冲突。
中共如果真的想把西藏经营好,让西藏人们都过上富裕现代化的生活,就应该多盖学校和监狱,学校送给藏民,监狱送给喇嘛。
我建议各位网路上的朋友们去西藏玩一玩,不要跟旅行团,也不要只去寺庙,去乡村,去草原,去看看西藏的原生态,去那些农牧民的家中,看看他们对中共和毛泽东的观点,看看他们辛勤的劳作,看看他们作过奴隶的祖父祖母那残缺的手臂,和没有文化的朴实,再去看看喇嘛们悠闲舒适的的生活,听听他们对政府的不满。
2008-04-21
昨天的病毒
昨天遇到一个很麻烦的 SpyWare,很厉害!
一、是在看网页的过程中中毒的。一个普通的页面(也许不那么普通),在浏览过程中崩溃(怀疑是缓冲区溢出),接着机器反应变慢,CPU 占用率上升。
二、打开任务管理器,发现 cmd.exe、net.exe、explorer.pif 等非正常进程,并且发现进行中止杀毒软件的操作(运行的命令中涉及各大知名杀毒软件)。
三、自动打开浏览器进程,但又不显示实体窗口。
四、硬盘根目录下出现 autorun.inf、explorer.pif 等文件。
五、注册表中在各个角落添加 N 多自启动文件,且大多为 dll 文件。(用 autoruns 查看)
六、系统目录下添加许多可执行文件和链接库文件。
七、进程表中在执行完一系列的 cmd.exe、net.exe 后无明显异常常驻进程,但用 PE 可见系统 svchost.exe 及其他进程中被注入大量其他线程。
八、系统日期被改到 2002 年的同一天。
九、时间可以改回来,但所有注册表中的添加内容、系统文件夹下的文件、根目录下的文件都被实时监控,一旦被修改即在一秒钟之内恢复。
十、破坏安全模式。
解决方法:
〇、断线。
一、将时间修改回来。
二、运用策略,禁止 PIF 文件、net.exe 及其他一些出现的恶意文件运行(DLL 文件无法直接禁止运行)。
三、运行 PE,查找注入的线程,找到文件,改名(XP 这点又好又不好,正在运行的文件是可以被改名的);同时在同一目录下新建同名的文件夹。
四、直接拔电源,防止文件回写。
五、重启,删除被改名的文件。
六、删除注册表中的相关项目。
七、修复安全模式。
八、用金山的在线查毒,确保无漏网之鱼(我一向用的金山,而且是旧版本。虽说防毒能力一般,但使用方便,对系统占用较小。其实在我自己家的电脑上是不装杀毒软件的)。
九、检查,确保防火墙上没有被钻洞。
经过两个小时的奋战,终于完工。
2008-04-28添
在网上又见到这个类似的病毒的描述:
http://safe.zol.com.cn/90/905046.html
一、是在看网页的过程中中毒的。一个普通的页面(也许不那么普通),在浏览过程中崩溃(怀疑是缓冲区溢出),接着机器反应变慢,CPU 占用率上升。
二、打开任务管理器,发现 cmd.exe、net.exe、explorer.pif 等非正常进程,并且发现进行中止杀毒软件的操作(运行的命令中涉及各大知名杀毒软件)。
三、自动打开浏览器进程,但又不显示实体窗口。
四、硬盘根目录下出现 autorun.inf、explorer.pif 等文件。
五、注册表中在各个角落添加 N 多自启动文件,且大多为 dll 文件。(用 autoruns 查看)
六、系统目录下添加许多可执行文件和链接库文件。
七、进程表中在执行完一系列的 cmd.exe、net.exe 后无明显异常常驻进程,但用 PE 可见系统 svchost.exe 及其他进程中被注入大量其他线程。
八、系统日期被改到 2002 年的同一天。
九、时间可以改回来,但所有注册表中的添加内容、系统文件夹下的文件、根目录下的文件都被实时监控,一旦被修改即在一秒钟之内恢复。
十、破坏安全模式。
解决方法:
〇、断线。
一、将时间修改回来。
二、运用策略,禁止 PIF 文件、net.exe 及其他一些出现的恶意文件运行(DLL 文件无法直接禁止运行)。
三、运行 PE,查找注入的线程,找到文件,改名(XP 这点又好又不好,正在运行的文件是可以被改名的);同时在同一目录下新建同名的文件夹。
四、直接拔电源,防止文件回写。
五、重启,删除被改名的文件。
六、删除注册表中的相关项目。
七、修复安全模式。
八、用金山的在线查毒,确保无漏网之鱼(我一向用的金山,而且是旧版本。虽说防毒能力一般,但使用方便,对系统占用较小。其实在我自己家的电脑上是不装杀毒软件的)。
九、检查,确保防火墙上没有被钻洞。
经过两个小时的奋战,终于完工。
2008-04-28添
在网上又见到这个类似的病毒的描述:
http://safe.zol.com.cn/90/905046.html
订阅:
评论 (Atom)