国标《安全防范监控数字视音频编解码技术要求》

 　　Surveillance Video & Audio Coding（

什么是好工作

　　当初微软有个唐骏，很多大学里的年轻人觉得这才是他们向往的职业生涯，我在清华bbs里发的帖子被这些学子们所不屑，那个时候学生们只想出国或者去外企，不过如今看来，我还是对的，唐骏去了盛大，陈天桥创立的盛大，一家民营公司。一个高学历的海归在

收藏了很久的一篇文章，拿出来晒晒——

虽然离开惠普仅有十五天，但感觉上惠普已经离我很远。我的心思更多放在规划自己第二阶段的人生，这并非代表我对惠普没有任何眷恋，主要还是想以此驱动自己往前走。

万科王石登珠穆朗玛峰的体验给我很多启发，虽然在出发时携带大

不少站点由于缺乏必要的安全防护，容易被黑或挂马，下面简要说说出了问题的解决思路——

先说治标的：
1、在你的服务器上装杀毒软件，升级到最新版，杀毒，确保本机没有病毒。
2、找一个Arp Sniffer之类的软件装上，探测一下机房局域网是否有ARP病毒，有则通知机房管理人员解决。
3、将你网页中的哪些代码删掉。网上可以找到批量删除工具，可对多个文件操作，只是注意如果你的access之类的数据库改成了.asp文件，要先改为别的，以免损坏。如果是动态网页，可能需要到网页的设置数据库表或模版中找哪些恶意代

病毒行为

1、释放病毒文件：
%Systemroot%\system32\dllcache\dvdplay.exe
%Systemroot%\system32\OLDA.tmp
%Systemroot%\system32\exloroe.exe
其中主体Xiaohao.exe常驻进程。

2、尝试启动C:\Program Files\Internet Explorer\iexplore.exe，不过未见其他行为。

3、Xiaohao.exe查找可用的磁盘，在其目录下生成：Xiaohao.exe和Autorun.inf
如双击磁盘，则激活病毒。
（如果在插入U盘情况下，运行被感染的病毒，那么U盘目录会生成Xiaohao.exe和A

      目前最新版的卡巴和瑞星都没有报毒。中毒后会随机弹出一些乱七八糟的网站。winlib .dll插入系统进程WinLogon.exe，并且在成功注入后将自身的磁盘映像文件C:\windows\system32\winlib .dll删除，让你怎么都找不到它，下次启动还有。

      这个winlib.dll是acpidisk.sys释放出来的，另外还释放一个C:\WINDOWS\TEMP\~my1.tmp （或者~my2.tmp、~my3.tmp等）

       WinLogon.exe修改注册表值——
   

     这个病毒具有“帕虫”或称“AV终结者”的某些特征，试图终止正在运行的杀毒软件进程，映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具，在系统盘外的其它盘生成autotun.inf及安装文件。
     同时，该病毒下载如下木马和广告软件——
     Trojan.Win32.Agent.pow
     Adware.Win32.CPush.g
     Adware.Win32.CPush.e
     Adware.Win32.Dodolook.b
 

      Trojan.Win32.Agent.pow和Adware.Win32.CPush.e都是瑞星报的病毒名，Trojan.Win32.Agent.pow这个样本目前卡巴还不能检测出来，令人气愤地是这个东西运行时要映像劫持我的explorer.exe，卡巴居然还在沉默。估计这是个国产的木马，在这一点上卡巴输给瑞星了。

      拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件：
      C:\WINDOWS\system32\netdde32.exe
      C:\WIND

        前面讲了关于安全意识方面的一些问题。这一部分来讲一些系统方面的知识，这些知识帮助我们正确的理解病毒、木马的原理，并对它们的防范形成一些基本的概念。这些基本的系统相关知识归纳为如下几类——

        1 系统体系结构及软件的相关概念
        2 Windows操作系统与安全相关的知识
        3 网络的相关知识

这是从一个SREng的扫描报告得出的解决办法，该报告显示出中毒的网友还中了N多的木马，但主要就是瑞星报Trojan.IMMSG.Win32.TBMsg.gu的4B2DF390.DLL文件注入了所有进程，难以清除。

同时，磁盘根目录下被放了autorun.inf文件，这也是导致难以清理的清理原因。关于autorun.inf相关问题的参考：http://hi.baidu.com/sanluxia/blog/item/d8798d544a49e25ad1090600.html

其他中了该病毒的网友可以将这篇的解决办法作为一个参考，