楼主上次传给我们的样本,经mopery上报瑞星后,今天的最新版瑞星杀软已可以令人比较满意地清除这个病毒。
我刚才花时间试了一下,用winhex将威金的代码加到原正常文件的代码中,即模拟威金的感染过程。
结果证明,瑞星最新版本已经可以清除威金cx变种。楼主可以把瑞星升级到最新试试。
不过瑞星在杀毒后的文件后面加了一串代码,前面是一串数字:1401525067,后面是空代码。杀毒后的文件于是比原文件要大,但是占用的磁盘空间与原文件一样。至于为什么如此,可能我的“模拟”和真实情况有点差距,或者跟瑞星有关,具体的恐怕就要请教瑞星的工程师了。
楼主所给的那个清除程序,虽然不能查杀内存中的病毒,因为我不是实际中毒,也不需要这一块。同样因为如此,我只是用了清除程序,没有使用前面的批处理。
效果不错,也成功地清除了病毒的代码。这次杀毒后的文件比原来大了10字节,不过这10字节全是空代码。至于原因,同样可能是我的“模拟”与实际染毒的差距,或者得问问这个程序的设计者了。从与原来文件相比还原的相似度上,目前看来这个清除程序比瑞星杀软要好一些。
有趣的是,当我把染毒文件的后缀扩展名改变,瑞星还是规规矩矩地以文件特征码来判别,所以照杀不误。而楼主提供的清除程序却没反应,这说明这个程序有设置,查毒时只检测exe扩展名的文件,如果不是exe扩展名就跳过。当然,在实际中毒的电脑中,这点对查杀效果没有什么影响。
最后又有个小插曲:
我用来“模拟感染”的对象,正是我每天与它打交道的SREng程序。它的作者,smallfrogs,为它加入了自校验的功能,在双击运行它时,如果发现自身的大小已经改变,它就停止运行并弹出相应提示。因为上述两者清除病毒后均留下了一点“手尾”,使文件大小与原来不同,所以就出现了上述现象。用winhex将最后多出来的部分删除后,再运行,成功。至此,原来的SREng.exe终于回来了。
