这里就简单描述ErrorSafe的分析和应对办法,目前,我这里只能找到两个版本,一个是1.0.22.4,另外一个是1.2.120.1,后者经升级应该是最新版本了,颠倒一下,先给出结论,并列举防范措施,最后是简单分析 结论和推广方式 1、从版本上来看,老版本的ErrorSafe还添加了服务等,而最新版本则是很简单的只添加自启动项,新版本更容易被清除 2、从程序上来看,该软件之所以被国际称为恶意软件,主要是指它的流氓推广方式及其恶劣,犯了众怒,才被人人喊打 由于该程序本身并无流氓特征,其流氓性主要体现在其推广方式上,我不清楚中标网民是在那种情况下中招的,仅就常见推广手段简单列举出来 1、网站联盟推广,使得用IE访问所有挂有广告代码的网站时,均会弹出ErrorSafe的广告 2、病毒式推广,我得到的较新版本ErrorSafe就是通过一个类似download马得到,如今的木马个个都会download 3、知名网站广告,比如微软的MSN就为其推广过 个人建议: 1、了解并实施一些个人电脑安全防护的东西 2、(个人极为偏激)能不用IE,尽量不用IE,尽管它的补丁可能是最新. 3、暂处理不掉ErrorSafe的可以扫个sreng日志到我信箱 简单分析ErrorSafe1.0.22.4版本 释放文件及文件夹 %Program Files%\ErrorSafe\ %System%\Wbem\Logs\wbemess.log %System%\DRIVERS\erssdd.sys %Windir%\wiadebug.log %Windir%\wiaservc.log %Windir%\Sti_Trace.log 添加注册表信息 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ErrorSafe 指向%Program Files%\ErrorSafe\ers.exe [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\erssdd.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\erssdd.sys] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\erssdd] 指向 %System%\DRIVERS\erssdd.sys [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ERSSDD] 指向 %System%\DRIVERS\erssdd.sys ErrorSafe1.2.120.1版本 释放文件文件: %Program Files%\ErrorSafe\ 添加注册表信息 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] Error Safe指向%Program Files%\Error Safe Free\ers.exe uerscw指向%Program Files%\Error Safe Free\uerscw.exe 说明:注册表信息记录很长,文中只列出了我能找到的关键部分,其他无意义 解决办法: 1、上述两个版本,均能够被正常卸载,卸载完毕后,一些残余注册表信息及残留文件,可以使用冰刃IceSword来删除(下载地址: http://down.45it.com(SREng 也可到该地址下载)) 2、如果不使用其自带的卸载程序,可以使用冰刃IceSword或Unlocker纯手工清除干净 3、文中所涉及工具在反病毒常用工具里均有下载 |