這里就簡單描述ErrorSafe的分析和應(yīng)對辦法，目前，我這里只能找到兩個版本，一個是1.0.22.4，另外一個是1.2.120.1，后者經(jīng)升級應(yīng)該是最新版本了，顛倒一下，先給出結(jié)論，并列舉防范措施，最后是簡單分析

結(jié)論和推廣方式
1、從版本上來看，老版本的ErrorSafe還添加了服務(wù)等，而最新版本則是很簡單的只添加自啟動項，新版本更容易被清除
2、從程序上來看，該軟件之所以被國際稱為惡意軟件，主要是指它的流氓推廣方式及其惡劣，犯了眾怒，才被人人喊打

由于該程序本身并無流氓特征，其流氓性主要體現(xiàn)在其推廣方式上，我不清楚中標(biāo)網(wǎng)民是在那種情況下中招的，僅就常見推廣手段簡單列舉出來

1、網(wǎng)站聯(lián)盟推廣，使得用IE訪問所有掛有廣告代碼的網(wǎng)站時，均會彈出ErrorSafe的廣告
2、病毒式推廣，我得到的較新版本ErrorSafe就是通過一個類似download馬得到，如今的木馬個個都會download
3、知名網(wǎng)站廣告，比如微軟的MSN就為其推廣過

個人建議：
1、了解并實施一些個人電腦安全防護的東西
2、(個人極為偏激)能不用IE，盡量不用IE，盡管它的補丁可能是最新.


簡單分析ErrorSafe1.0.22.4版本
釋放文件及文件夾

Code:
%Program Files%\ErrorSafe%System%\Wbem\Logs\wbemess.log
%System%\DRIVERS\erssdd.sys
%Windir%\wiadebug.log
%Windir%\wiaservc.log
%Windir%\Sti_Trace.log

添加注冊表信息

Code:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ErrorSafe 指向%Program Files%\ErrorSafe\ers.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\erssdd.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\erssdd]
指向 %System%\DRIVERS\erssdd.sys
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ERSSDD]
指向 %System%\DRIVERS\erssdd.sys


ErrorSafe1.2.120.1版本
釋放文件文件：
%Program Files%\ErrorSafe添加注冊表信息
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Error Safe指向%Program Files%\Error Safe Free\ers.exe 
uerscw指向%Program Files%\Error Safe Free\uerscw.exe

說明：注冊表信息記錄很長，文中只列出了我能找到的關(guān)鍵部分，其他無意義

解決辦法：
1、上述兩個版本，均能夠被正常卸載，卸載完畢后，一些殘余注冊表信息及殘留文件，可以使用冰刃IceSword來刪除
2、如果不使用其自帶的卸載程序，可以使用冰刃IceSword或Unlocker純手工清除干凈
3、文中所涉及工具在反病毒常用工具里均有下載

最新評論