一个很偶然的机会,大概一个多月前,我发现我计算机里一个程序有多个启动键值,而且其中包括有临时文件夹“C:\Windows\temp\”路径,除了临时路径外还包括“C:\Program Files\SearchNet\”,属性大多是隐藏的。里有“IEWRLDRIVE.EXE、WRLSERVICE.EXE、SEARCHNET.EXE、SEARCHNET.EXE、ServeHost.exe等文件,而且删除的时候无法删除,经查该目录是中搜在线的安装目录,没有多想进入安全模式下将其卸载(可能当时我计算机上的这个版本还不是很强,注册表里可以看到启动项)。记得以前那个网络猪充其量只能算个流氓软件啊,但是现在却成了强奸犯!
2005年12月16日后升级后的升级卡巴斯基把它列为了木马查杀对象,随后趋势、诺顿也都把其列为木马对象。当时国内的金山和瑞星、江民反应较慢,还没有把它列为查杀对象,现在也都将其列为查杀对象了,对象是特洛伊木马,但是经过测试大多都不能在正常模式下将其删除,只能在纯DOS或安全模式下杀掉。
下面谈下该木马具有的特性和防治方式:
一.隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件FAD.sys Anfad.sys hProcess.sys。
二.隐藏进程
该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe。
三.隐藏注册表
该木马隐藏了与其相关的所有注册表项,包括启动项“SearchNet_Up”。
四.监视用户操作
该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。
五.自我保护,自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除!
六.网络访问与后台升级
该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。
七.卸载欺骗
该木马提供一个虚假的卸载方式,来欺骗用户。用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马!
八.病毒防治
1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件,以确定自己是否中了此木马。
2、警惕
该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了!
3、删除
目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。
说点其它的:
任何一台计算机上,只要你安装了网络猪,都等于直接主动安装了木马,按照中搜自己对外公布的5000万的用户量,咱们再去去水分,也就是说至少有3000万的用户被感染了这些木马,我不知道一个搜索性的服务软件,在用户的计算机里放这么多木马是何居心,搜集信息、监控用户……反正总也不能把它联系到好的一方面,3000万啊,近似等于中国网民总数的1/3(而且这个数字还在持续攀升),有了这1/3的被受控电脑,中搜简直就可以对中国互联网呼来喝去,后果不敢想象。各位网友如何选择,请三思后行,同时奉劝中搜,要好自为之。
铁证如山,我已无语,为一个本来很有前途的民族软件而感到惋惜。流氓也就算了,但是强奸犯的罪名也不一样了!依照我的说法是要判死刑的!!



