我是江民達人!!

事件主角:unwise_.exe
作業系統:XP SP1
CPU:Intel PIII 667
記憶體:512MB(內顯剩384)
原裝防毒:小紅傘8.0
中毒時間:98/3/30
檔案路徑:C:\WINNT\Fonts
檔案特徵:
1.在隱藏檔可見情況下依然不可見，檔案內容中的隱藏屬性無法修改
2.工作管理員中看不到，但使用江民進程管理器可見，但強制停止進程會自動重新啟動
中毒特徵:
1.防毒軟體遭停用，亦無法更新
2.網路接通後一段時間開始出現延遲現象，最終導致區網內全部電腦均無法上網
3.打開工作管理員可以看見增加很多不明程式正在運作，CPU耗用資源100%，最後無法負荷導致藍底白字
4.重新開機不接網路可緩慢操作
5.嘗試進入安全模式在選單跑完後直接藍底白字重新開機
卸載小紅傘安裝江民2009可註冊但無法更新，病毒碼日期97/12/26
江民樣本庫可提取並清除上述unwise_.exe，清除後(須重新開機)即可順利更新病毒碼，病毒碼日期98/3/31
江民更新完畢進行全系統掃描共掃到214支木馬，重新開機並再次掃描後系統恢復正常，網路也恢復了
唯一的遺憾是沒留下unwise_.exe的樣本，因為這台筆電是ACER很早期的商品了，無內建光碟機，2個USB插槽也都已經損壞，讓我連裝一下WinRAR的機會也沒有....
猜測中毒原因
1.免費版小紅傘欠缺的網頁監控
2.使用者又沒做windowsupdate導致被輕易入侵
以下是一些江民內建工具圖片供參考
可以看到很多偽裝的系統檔存在或執行中，並被寫入假服務及驅動，不過有很多以前沒遇過的，還沒時間去研究...
沒樣本只能乾瞪眼...有些圖片不小心被我刪掉了，請多見諒~

環境:VirusTotal
樣本獲取途徑:
在一台安裝江民防毒試用版已於98/02/26到期無法升級且已中毒的主機中使用WinRAR當成檔案總管查看各磁碟分區根目錄及system32資料夾，把可疑的檔案加入江民樣本庫並掃描樣本庫確認無漏取，並把37支樣本用WinRAR抓入隨身碟抓回自己電腦，其中33支被檔案監控偵測刪除,幸好是在自己的電腦，在備份區找回同系列4支共8支!
樣本送往VirusTotal進行偵測，結果如下圖

看完這篇文章就會知道，不僅消費者該選擇江民，連電腦維修站也該幫客戶安裝江民!!
除了江民以外，我所知道的防毒軟體都是比對式掃描跟啟發式掃描一起運作，每次掃完沒事就好，萬一掃到未知病毒就會要你選擇刪除、忽略或隔離，然後使用者就開始打電話或拿銅板博杯，選對了就好，選錯了從此跟這個作業系統say byebye，準備花錢重灌!! 
這樣好玩嗎?一點都不好玩啦!!哪有我花大錢買防毒卻要我自己去三選一的?防毒軟體的功能是只能提醒使用者你中毒了的??

http://www.rti.org.tw/News/NewsContentHome.aspx?t=1&NewsID=149278
　　 已經潛入全球百萬部電腦的超強電腦病毒，將在4月1日愚人節再度演化，導致日後更難加以根絕，但預料還不致於帶來大浩劫。
　　微軟公司已經組成專案小組，想盡辦法要剿滅這隻叫做Conficker或Down Ad Up的病毒，還懸賞25萬美元緝拿撰寫這隻電腦蠕蟲的元兇。
　　專案小組人員之一，趨勢科技網路威脅研究員佛格森 (Paul Ferguson)說，這隻難纏的電腦蠕蟲將根據程式，設定在25日進行演化，變得更難遏止。
　　佛格森說，目前沒有證據顯示這個病毒會在4月1日變為攻擊模式或降低任何電腦的有效負載。
　　沒有持續更新微軟RPC伺服器服務的電腦或網路，這隻電腦病毒就會入侵並進行自我複製。它會透過網路感染，也會躲在儲存資料的USB隨身碟，從一個電腦傳染到另一個電腦。一旦進入電腦，就會深深紮根，還會建立防衛系統讓外界很難移除。
　　惡意軟體可能因此啟動，竊取被感染電腦中的資料，或將控制權置於駭客之手，讓他們集合所有「殭屍電腦」變成「殭屍大軍」。
　　Conficker最厲害的是它會利用殭屍電腦來破解密碼。
　　微軟已經修改免費的惡意電腦軟體移除工具（Malicious Software Removal Tool ）來偵測和消滅Conficker。該公司安全反應部門主管巴德(Christopher Budd)說，「由於這隻病毒持續演化，微軟和其他合作公司將持續找出瓦解Conficker威脅的新方法，讓消費者有更多的時間來更新系統。」
　　建議電腦使用者持續更新目前使用的防毒工具以及微軟系統，並且用更牢靠的密碼來保護電腦和檔案。
　　Conficker被設定為一天攻擊250個網站，從控制殭屍電腦的主機下載指令。根據電腦安全公司F-Secure的海波寧 (Mikko Hypponen)表示，從25日開始，這隻電腦蠕蟲將開始每天連結5萬個網站，而且更難偵測得到。
　　防毒專家說，這種病毒的擴散速度在年初非常快速，現在已經變得緩慢，但是還沒更新微軟系統的電腦還是可能會感染。
　　Conficker病毒在2008年11月首度被偵測到。
　　要知道電腦是否已經感染Conficker，其中一個方法是連結防毒公司網站，例如趨勢科技或賽門鐵克(Symantec)，已經感染病毒的電腦就連不上這些網站。

1.依下圖箭頭指示打開江民2009系統診斷功能

2.點選左側"全部"進行全系統掃描

一般的防毒軟體安裝光碟最多就是安裝防毒程式本身的功能或放置一些說明文件而已，江民的安裝光碟則是自帶掃毒核心及病毒碼的掃毒光碟喔~
1.首先必須進入BIOS調整成光碟開機，這部分網路上自有教學，請讀者自行搜尋學習調整方式，本文不再贅述~
2.畫面一開始會出現操作選項，圖中有各項說明，雖然是簡體中文，但不難理解~
   以下操作均以第一選項為例說明

掃描模式最齊全
視窗掃描、安全模式掃描、Bootscan、光碟開機掃描，掃描模式最完整，只要活用內建工具，更可輕鬆殺掉全部病毒!
內建工具程式及系統診斷
1.可協助用戶清理垃圾檔案、檢查系統問題，幫用戶保持系統完整性及流暢度!

1.打開江民主畫面，查看到期日期是否正確及儲值卡號與包裝內貼紙(或卡片)上所標示是否吻合!

2.新增或修正授權請按下上圖儲值鈕進入下圖畫面，輸入正確的卡號、密碼!

安裝江民以後如果發現玩遊戲常有無法登入或玩到一半突然離線的狀況發生，請打開下圖操作畫面依指示更改設定!
1.監控中的網頁監控請取消勾選

2.主動防禦中的網頁防木馬牆請取消勾選

工具>設定>主動防禦

把上圖中右側的系統監控跟木馬一掃光都勾起來，如此一來只要隨身碟中帶有病毒，此機制便會提出警告(如下圖)，使用者只需適時按下"禁止"，即可完全不受隨身碟病毒感染!!