悠悠我心

症状：
中该病毒的本机一般情况下并没什么特别反应，但会关掉一些可能包含某些敏感字的窗口（俺就是因为这个才发现自己的机器也无意中被感染的）。
该病毒的文件名均与windows系统文件的文件名相同或相似，在中该病毒后，查看系统进程，会发现alg.exe、smss.exe、lsass.exe的系统进程均有两个（只有大小写区别），由于与关键进程文件名相同，很容易疏忽。

该病毒会在\windows\system32\com下生成两个隐藏文件LSASS.EXE和SMSS.EXE，在\windows\system32\drivers下生成一个隐藏文件ALG.EXE，在硬盘所有分区下生成两个隐藏文件autorun.inf与pagefile.pif，autorun.inf的内容为：
[AutoRun]
open=pagefile.pif
shell\open=打开(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=pagefile.pif

病毒运行后，会修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2下所有磁盘分区下添加或修改一些键值。

危害：
该病毒会劫持LAN的网关，在LAN里的其他访问htm、html、asp、aspx、php、jsp等web页面时，会嵌入一段代码显示广告并将web页面里的一些可下载文件替换成一个87K左右的病毒文件(文件名一般为setup.exe)，所以，该病毒在LAN里的传播速度有可能会非常快！同时，由于该病毒劫持网关，貌似还会发送大量的ARP包，会造成网络通信极其不畅，严重的时候甚至整个网络瘫痪。 

杀毒：
NOD32、小红扇等对该病毒完全没反应，KAV只能杀SMSS.EXE，并报告病毒名称为Trojan.Win32.Agent.cyd，但对病毒的主体pagefile.pif与LSASS.EXE并不反应。据说McAfee 8.0可杀该病毒，但我手头没这个软件，未测试。

手工清除病毒：
用IceSword与pendmove或其他任何手段结束ALG.EXE、SMSS.EXE、LSASS.EXE这3个进程（进程名确实为大写字母，注意与系统关键进程alg.exe,smss.exe,lsass.exe区分），将\windows\system32\com\下的隐藏文件LSASS.EXE和SMSS.EXE删除，删除\windows\system32\drivers\ALG.EXE(也是隐藏文件)，且删除所有硬盘分区下的隐藏文件pagefile.pif与autorun.inf，系统重启后再将注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2下的一些病毒更改或添加的键值删除。
至此，病毒应大致已清除（俺一开始也是这么认为的），但实际上病毒可能已感染系统分区外的其他分区里的可执行文件，被感染的可执行文件一般图标都已变化，在没其他可靠的杀毒手段前，建议删除或暂时不运行。

呵呵，看到这标题，估计很多DIY们哈哈大笑，增加一块硬盘还要方法？接上电源线和数据线，开机就OK了，嘿嘿，看清楚，我是说DELL的机器哦 :p

很多人都说DELL是美国的神州，虽然本人现在对DELL的商业信誉有所怀疑，但公平的说，DELL的机器（台式、服务器）和国内的一些所谓“品牌机”还是有不小差别的，相比较而言，无论从机器内部的风道到整体的设计做工，甚至到机器的BIOS，都还是有不小的差别的。DELL机器主板的BIOS相对零售市场上的主板上的BIOS就有不小差别。DELL机器主板BIOS的其他功能我不清楚，但今天就说说增加硬盘的方法。

好象大部分的DELL台式机，当你插上硬盘后，在BIOS里是不会直接认出的硬盘的，正确的方法是：所有硬盘跳线以Cable Select方式跳线，接上数据线和电源线后，开机在启动时按F2键，进BIOS设置，然后，按Caps Lock键、Num Lock键和Scroll Lock键，使键盘上的Num、Caps、Scroll灯亮，再按Alt+E、Alt+F、Alt+B键就可以正确检测到硬盘了。

    8月7日，接到朋友的消息，DELL网站上一款SC430的低端服务器，竟然能以975RMB的价格就下定单，冲进去一试，果然是以975.47RMB的价格完成了交易，并通过网上银行支付成功，支付成功后接到一封来自DELL的EMAIL，称将在一个工作日内与我联系。

    偶等啊等，晚上7点不到点，接到了来自DELL的电话，称偶8月7日购买的SC430是他们的失误，要求退款…

    原来，所谓的世界500强的信誉就是这样的？谁都知道网络购物有风险，在DELL买机器，是需要先给DELL打款的，按照DELL这样的处理，网络购物的所有风险就全部加在了消费者头上，难道DELL就是凭着这样的商业信誉成为世界500强的？一直以来，我们都是凭着对DELL的信任，先将货款打给DELL，上次在帮朋友买DELL的5150的时候，朋友就问了：“先打货款有没问题？”偶还教导他放心…

    在发生这样的事情后，很难说偶以后会对DELL的商业信誉有什么信心了，不知道以后会不会发生DELL挟款潜逃的事情?

    从另一个角度说，所谓的世界500强企业在网络购物上也就是这样的商业信誉，那么，其他的网络购物岂不是风险更大？

PS：还好这次买DELL的机器也只是抱着玩玩的心态。

PS2：刚才去DELL的网站看了一下，发现SC430的最便宜那款报价3999的机器被DELL撤掉了，估计是怕消费者拿那款机器说事，太令人失望的DELL。在他们的主页上，还看到这么一行字：“放心在线购买”，太讽刺了。

一段时间没注意,今天竟然偶然发现,还有人往我这烂机器里放php shell,也不知道他(她?)有没在我这里发现什么宝贝 :$

From: Hu, Rui [mailto:Hu_Rui@emc.com]
Sent: 2006年4月10日 13:48
To: Loke, Soon Choo
Cc: China All (Beijing); China All (Chengdu); China All (Guangzhou); China All (Shanghai); Lai, Sharon
Subject: FW: Do not assume or take things for granted

Soon Choo,

首先，我做这件事是完全正确的，我锁门是从安全角度上考虑的，北京这里不是没有丢过东西，如果一旦丢了东西，我无法承担这个责任。

其次，你有钥匙，你自己忘了带，还要说别人不对。造成这件事的主要原因都是你自己，不要把自己的错误转移到别人的身上。

第三， 你无权干涉和控制我的私人时间，我一天就8小时工作时间，请你记住中午和晚上下班的时间都是我的私人时间。

第四，从 到EMC的第一天到现在为止，我工作尽职尽责，也加过很多次的班，我也没有任何怨言，但是如果你们要求我加班是为了工作以外的事情，我无法做到。

第五，虽然咱们是上下级的关系，也请你注重一下你说话的语气，这是做人最基本的礼貌问题。

第六，我要在这强调一下，我并没有猜想或者假定什么，因为我没有这个时间也没有这个必要。

_____________________________________________
From: Loke, Soon Choo
Sent: Saturday, April 08, 2006 1:13 AM
To: Hu, Rui
Cc: Ng, Padel; Ma, Stanley; Zhou, Simon; Lai, Sharon
Subject: Do not assume or take things for granted

Rebecca, I just told you not to assume or take things for granted on Tuesday and you locked me out of my office this evening when all my things are all still in the office because you assume I have my office key on my person.

With immediate effect, you do not leave the office until you have checked with all the managers you support - this is for the lunch hour as well as at end of day, OK?

上面就是最近广泛流传的boss和他的女秘书的两封email,说实话,非常佩服这位女秘书的勇气!
顺便在这里祝她好运!