IE不时显示要求下载Internet Explorer累积安全更新程序(KB890923):WindowsXP-KB890923-x86-CHS.exe,可惜用户的操作系统是VISTA的,而且一下载就被机上的杀毒软件拦截了,小红伞报为TR/Crypt.XPACK.Gen。可见这是一个伪装windows补丁的病毒或木马。
具体检查该文件的属性,更搞笑的事发生了,文件版权竟然写着Beijing Rising(瑞星?),描述是Rising Installation Program(瑞星安装程序?),下面的产品名称写着“Rising Antivirus 2009”,胆子真大,冒充windows补丁也就算了,还扯上瑞星。
到微软的网上查了下,真正的KB890923补丁大小为3.9M,用于windows xp sp2下的IE更新,而这个李鬼的大小是70多K,竟然跑到VISTA下要求更新,尾巴露得太多了。真正的windows更新程序(补丁)的文件属性中都有数字签名一项,而且有详细信息可查,可以由此检查是否是正牌的补丁。
由于在其SREng日志中没有发现更多信息,这个冒牌补丁的来源不明,只看到有两个任务计划比较可疑,但日志这方面显示不够详细,无法进一步验证。