独家尝鲜 新版ESET NOD32杀毒套装体验

　　典型磁碟机破坏的表现：

　　1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃。

　　2.破坏文件夹选项，使用户不能查看隐藏文件。

　　3.删除注册表中关于安全模式的值，防止启动到安全模式。

　　4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的目实现自动加载。

　　5.修改注册表，令组策略中的软件限制策略不可用。

　　6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。

　　7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时动运行功能传播。

　　8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载

　　9.释放多个病毒执行程序，完成更多任务。

　　10.病毒通过重启重命名方式加载，位于注册表：
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestore下的Pending RenameOperations字串。

　　11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。

　　12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

　　病毒传播途径

　　1.U盘/移动硬盘/数码存储卡传播

　　2.各种木马下载器之间相互传播

　　3.通过恶意网站下载

　　4.通过感染文件传播

　　5.通过内网ARP攻击传播

　　测试查杀机器狗木马病毒

　　机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe，并建立一个包含病毒的userinit.exe，随系统每次启动时加载到系统中。

　　此文件运行后会在系统的：
SOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options下添加一系列反病毒软件和安全工具的键值，使这些软件和工具无法正常运行。

　　另外病毒还会尝试注入IE进程通过互联网下载病毒的更新，达到躲避查杀与侦测的目的。此外，机器狗通常会附带下载者，不断的从病毒主机下载病毒、木马等到计算机中，盗窃网银、网游账号。
为了测试ESET NOD32安全套装的杀狗能力，我们下载了最新的机器狗样本。

图20 附带下载者的机器狗木马病毒

　　运行右键杀毒，ESET NOD32立马就查杀出有很多盗号木马。

图21 右键扫描杀毒

图22 ESET NOD32查杀出很多盗号木马

　　由此可见，ESET NOD32安全套装的杀马能力还是很不错的。