这两天有网友说已经搞到可以过毒霸专杀的灰鸽子样本,动作还是挺快的。

毒霸专杀本身没有解壳模块,加壳是过毒霸专杀的方法。这几个样本可以过毒霸专杀,但过不了毒霸的实时监控,这就是数据流的威力了。特殊加壳程序执行时,数据流引擎直接识别灰鸽子特征,将其杀掉,这样看,还不能算过了毒霸这一关。

建议用户不能单纯依赖灰鸽子专杀,开着毒霸的实时监控,以对付这几种专门针对毒霸的加壳木马。

另外,下午抽空试了下在vista下跑灰鸽子服务端,大部分控制功能可用。如果要运行的服务端程序名不是setup.exe和install.exe,带有欺骗特征的文件名,将不能被执行,vista还是安全了很多。关闭UAC后,vista的安全性,就和xp差不多了,还是建议不要关闭了。