Storm_Center

　　前不久，在论坛上看到有人说他装了某某杀毒软件、某某防火墙等，问是不是应该再装一个AVG来作为专杀木马的工具。自从AVG进入中国用户的视野（前身叫Ewido），就一直被误传为杀木马很好用的软件，其实人家是正牌的杀毒软件，可不是什么象国内某些看着文件名下手的简单程序那样归类成专杀木马。

　　在数动论坛有人说他不会向杀毒软件提交可疑文件，于是我专门去收集了一下这类网址。原以为很难找，没想到只要到杀毒软件的官网上一翻就有了，找到技术支持、在线服务之类的链接进去，总能找到提交样本文件的地方，至于提交方法与具体要求，网页上写得很清楚了。

　　卡巴斯基有时会对打开运行的程序软件提示PDM.DNS Query，所报的软件有文档处理、多媒体、即时通讯、网上炒股等，对于不了解卡巴斯基监控机制的人总有会引起紧张，担心是不是中了病毒，特别是那句“可能被非法用于破坏您的计算机或隐私数据的合法软件”，更加深了怀疑。

　　不同于常见的劫持IE主页，一些对浏览器的劫持发生在无法访问的网页等特殊页面。一般IE打不开的网页会显示“Internet Explorer 无法显示该网页”，这是由注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs下的NavigationFailure值决定。

　　经常看到有人电脑中毒后到处找专杀工具，或者答复病毒求助时说“找个专杀吧”。专杀工具到底是做什么用的呢？其实也是杀毒软件的一种，只是针对特定的一种或几种病毒或木马，提供临时的解决方案。

　　杀毒软件小红伞（AntiVir）出现错误提示如下：

AntiVir MailGuard 中出现错误。
错误文本: AntiVir LSP 验证失败。
错误代码:[24048]
……

　　应该从6月2日开始，就有人陆续开始报告360提示数动连线网站（www.shudoo.com）与数动论坛（bbs.shudoo.com）挂马。首先肯定的说，数动论坛与网站是安全的，可以放心访问。

　　Freshow和MDecoder都是挂马的分析工具，由于MDecoder基本上模仿了Freshow，当然MDecoder已经发展到分析和解密自动化了，可以看成Freshow的自动和智能化版本，已经不需要专门的教程来解释如何使用解密网页木马，但参考一下Freshow的教程，会对MDecoder更了解些。

　　安全厂商们似乎已经不满足杀毒软件、防火墙的防护，又开始整起网盾来，金山网盾、360网盾，一个接一个，说是保护浏览器、防御网页挂马之类的，也难怪，网站挂马突然跳到人们眼前成了主流危害，但商人们则仿佛看到又一新的增长点，全力以赴，吸引眼球，就象所谓的专杀木马曾经甚嚣尘上、独成一家一样。

　　有时安装金山网镖在即将完成时会提示“金山网镖安装驱动失败，请重新执行安装程序”，解决方法是关闭金山毒霸的自我防护，然后安装金山网镖，等安装成功后再重新打开金山毒霸的自我防护。

　　Windows的补丁更新一直是系统安全中很重要的一环，由于中国的特殊情况，很多用户不使用系统自带的自动更新来下载安装补丁，而是使用360、金山、卡卡，还有QQ医生之类的第三方工具来下载安装补丁，以避免一不小心装上了微软的正版验证程序。然而各种工具对于用户应该下载安装何种补丁却有一些不同。

　　 “慎用巨盾出的lpk.dll-usp10.dll感染病毒专杀工具”一文惹人不高兴了，也许是他没看清楚，或许是我没写明白，就算我头上吧，我还是解释一下。

　　本篇测试并不严谨，只为响应佳佳的测试要求，给杀毒软件的主程序加个壳或加个花，看看杀毒软件会不会只因为加壳或加花而不看加壳加花的对象就报警。其实微点不算传统意义上的杀毒软件，不依靠特征码来检测病毒，所以加壳加花对它来说本来说没有意义，理论上是这样的。理论还说，即使不加壳，病毒只要不运行，站在微点面前也认不出来，微点判断是否病毒，要看对象是否产生危害行为。以上纯属理论。

　　对于SREng日志的分析不建议使用智能分析工具，虽然从表面上看，似乎不费眼神、可以直接得出“结论” ，但这样得出的分析结果往往有很多误判与漏报。

　　微软于周四发布紧急安全补丁IE for Windows XP安全更新程序（KB978207），修复了IE中存在的高危漏洞，即此前网上流传的IE极光0Day漏洞。此次安全升级被定级为高危级别，除了Windows Server 2003上的IE6之外，这个之前被曝光的远程代码执行漏洞影响微软所有Windows系统上的所有IE版本，包括IE 5.01、IE6、IE7、IE8。