机器狗目前比较流行。中招后杀软难以杀净;手工查杀流程繁琐;专杀效果并不理想(变种较多)。对于这类病毒,预防为主应该是可取的策略。
手头有4只不同的“机器狗”样本,在影子系统中观察了一下其进入系统的规律:
1、病毒程序运行后访问网络,下载病毒文件至IE临时文件夹。
2、IE临时文件夹中的病毒运行后,在“当前用户临时文件夹”中创建病毒文件。创建的病毒文件以下列多见:
LYLOADER.EXE、LYMANGR.DLL、MSDEG32.DLL、tmp*.tmp(其中*代表变化的两个字母或数字)、1.exe、2.exe......等。
3、在系统根目录下创建“随机数字名.bat”若干个;在WINDOWS目录下创建.exe病毒文件;在系统目录下创建下列病毒文件:
LYLOADER.EXE
LYMANGR.DLL
MSDEG32.DLL
IGB_*_变动的数字.exe若干个(*代表变动的字母)
IGB_*_变动的数字.dll若干个(*代表变动的字母)
随机字母.cfg若干个
随机字母.dll若干个
msepion.sys
4、在系统驱动目录下创建下列文件:
msaclue.sys
msacpe.sys
phy.sys
5、有的变种还替换系统文件userinit.exe或explorer.exe。
根据上述规律,在XP专业版的“组策略”之“软件限制策略”下,设置几条规则,禁止病毒主要程序运行。再在瑞星2008的“主动防御”模块中添加几条规则,保护“组策略”之“软件限制策略”下的规则;禁止mmc.exe和cmd.exe运行,即可完全防住这4个变种。至于其它变种能否防住,我不清楚。如果哪位手头有样本,欢迎打包、加密(密码:123)发到:baohelin@yahoo.com.cn,以便观察。
用瑞星主防禁止mmc.exe,目的是防止病毒调用此程序删除用户已经设置好的“软件限制策略”规则;用瑞星主防禁止cmd.exe,目的是防止病毒调用cmd.exe建立病毒文件/感染正常程序等。
用瑞星主防禁止mmc.exe、cmd.exe,可能妨碍用户自己使用这两个程序。作为一种变通办法,可以这样解决:需要使用这两个程序时,先将瑞星主防相应规则前的“勾”去掉、点击“确定”、“应用”。用完mmc.exe和cmd.exe后,在将那两个勾选上。
理论上,瑞星2008的主动防御也可以完成前述“软件限制策略”的防御功能。但实际上,到目前为止,瑞星2008的“主动防御规则”的设置中还不支持?或*等通配符的使用,从而导致无法针对随机(或变动)文件名的病毒文件设置禁止规则。
具体的设置与防护效果截图见附件。
附件:相关设置
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)附件:
1558472008130143703.rar 