关于ePower.exe
这个蠕虫较难处理干净。原因可能是:
1、系统染毒后,病毒副本太多。
2、此病毒感染面广。
我开着Tiny防火墙,在影子系统的full shadow模式下观察了一下这个ePower。情况大致如下:
1、连接网络。
2、将ePower.exe放到“当前用户临时文件夹”中运行。Tiny询问是否允许ePower.exe访问网络。放行后,该文件夹中即刻生成大量病毒文件。
3、由于Tiny的文件保护、IDS以及Firewall均处于开启状态,ePower.exe无进一步作为,只是反复写入“当前用户临时文件夹”,繁殖病毒副本。
4、关闭Tiny的文件保护、Tiny的IDS及Firewall,病毒开始感染系统分区及其它分区的.exe文件。赶紧开启Tiny的所有模块。
5、将“当前用户临时文件夹”中的病毒副本及其它分区的被感染文件(D盘存放的2006年10月WINDOWS的补丁)收集起来,打包,保存到U盘。
6、重启系统。将U盘中收集到的样本解压到c:\windows\新建文件夹,用卡巴斯基扫了一下(图1、图2)。
可见:如果不是及时恢复Tiny的文件保护,感染面还会更大。这可能是ePower.exe难以处理干净的原因之一。
另:观察时ePower.exe运行时,曾见Tiny报ePower.exe试图写入D:\Program Files\Norton SystemWorks\Norton Ghost\Ghost.exe和GhostExp.exe(恶毒啊!),但有Tiny的文件保护,病毒未能得逞。
图1
