我提前为冗长的帖子道歉。我发布了所有内容,因为我相信它内容丰富并且可能有用。另外,我在最后发布了我的问题。
不久前,我是我家中文件服务器的 RDC(从我家中)。我打开了 Firefox 并在 Google 上搜索了一个制造商网站。单击链接后,Firefox 立即关闭。这对我来说似乎很奇怪,所以我检查了正在运行的进程并发现 d.exe、e.exe 和 f.exe 正在运行。
我在另一台机器上用谷歌搜索这些进程,发现它们属于一个名为 defender.exe 的键盘记录器/屏幕捕获器/木马程序,根据 Prevx,它位于 c:\documents and settings\user\local settings\temp。(上一个链接http://www.prevx.com/filenames/147352809685142526-X1/DEFENDER32.EXE.html)
同时,服务器上出现一个明显被欺骗的 Windows 防火墙弹出窗口,要求我单击“是”以更新 Windows 防火墙。
此时我结束了所有流氓进程,清空了临时文件夹,从启动中删除了 defender.exe,并检查了我的注册表和其他一些位置。在删除 Defender.exe 之前,我注意到它是在不久前创建的,就在 Firefox 崩溃之前。我相信我“几乎”感染了这个恶意软件。我相信它需要我单击虚假弹出窗口才能完成感染,因为它不允许从临时文件夹执行进程。清理完机器后,我重新启动了它,并且已经监视了一个多小时。我正在争论是否要恢复 Windows 分区(与数据分开的物理驱动器)或只是观察它一段时间。
我应该提一下,由于这台机器的规格,我没有运行杀毒软件,但我很了解它并定期检查它。这是一个非常老的 Compaq,带有 400mhz 的处理器和 512mb 的内存。我有一个静态 IP,服务器位于 DMZ 中,运行 FTP 客户端和一些 HTTP 服务器软件。传输到本机并存储在本机上的所有文件在传输前都会进行恶意软件扫描。通常这台机器只运行 19 个进程,并且在其预期用途上表现良好。
我发布了这个故事,以便您了解可能的新恶意软件及其行为方式,但我还有一两个问题。首先,在过去的几个月里,我注意到在研究恶意软件时,PREVX 列在我大多数 Google 搜索的顶部,尤其是对于新的或不知名的恶意软件……而且他们总是希望您购买一些东西。我不认为他们是顶级 AV 公司之一,所以他们总是在谷歌搜索结果中排名第一似乎很奇怪。有没有人对他们的任何产品有任何经验?
此外,您依赖哪些网站进行恶意软件研究?最近,我发现很难找到好的信息,因为 HijackThis-logs 和其他死胡同信息使我的搜索变得混乱。
最后,除了防病毒、第三方防火墙等,在像我这样顽固的管理员拒绝运行 AV 的情况下,您会使用哪些设置来锁定机器以使其更安全?
谢谢。