这里就简单描述ErrorSafe的分析和应对办法,目前,我这里只能找到两个版本,一个是1.0.22.4,另外一个是1.2.120.1,后者经升级应该是最新版本了,颠倒一下,先给出结论,并列举防范措施,最后是简单分析
结论和推广方式
1、从版本上来看,老版本的ErrorSafe还添加了服务等,而最新版本则是很简单的只添加自启动项,新版本更容易被清除
2、从程序上来看,该软件之所以被国际称为恶意软件,主要是指它的流氓推广方式及其恶劣,犯了众怒,才被人人喊打
由于该程序本身并无流氓特征,其流氓性主要体现在其推广方式上,我不清楚中标网民是在那种情况下中招的,仅就常见推广手段简单列举出来
1、网站联盟推广,使得用IE访问所有挂有广告代码的网站时,均会弹出ErrorSafe的广告
2、病毒式推广,我得到的较新版本ErrorSafe就是通过一个类似download马得到,如今的木马个个都会download
3、知名网站广告,比如微软的MSN就为其推广过
个人建议:
1、了解并实施一些个人电脑安全防护的东西
2、(个人极为偏激)能不用IE,尽量不用IE,尽管它的补丁可能是最新.
简单分析ErrorSafe1.0.22.4版本
释放文件及文件夹
Code:
%Program Files%\ErrorSafe%System%\Wbem\Logs\wbemess.log
%System%\DRIVERS\erssdd.sys
%Windir%\wiadebug.log
%Windir%\wiaservc.log
%Windir%\Sti_Trace.log
添加注册表信息
Code:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ErrorSafe 指向%Program Files%\ErrorSafe\ers.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\erssdd]
指向 %System%\DRIVERS\erssdd.sys
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ERSSDD]
指向 %System%\DRIVERS\erssdd.sys
ErrorSafe1.2.120.1版本
释放文件文件:
%Program Files%\ErrorSafe添加注册表信息
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Error Safe指向%Program Files%\Error Safe Free\ers.exe
uerscw指向%Program Files%\Error Safe Free\uerscw.exe
说明:注册表信息记录很长,文中只列出了我能找到的关键部分,其他无意义
解决办法:
1、上述两个版本,均能够被正常卸载,卸载完毕后,一些残余注册表信息及残留文件,可以使用冰刃IceSword来删除
2、如果不使用其自带的卸载程序,可以使用冰刃IceSword或Unlocker纯手工清除干净
3、文中所涉及工具在反病毒常用工具里均有下载