瑞星卡卡安全论坛

http://bbs.janmeng.com/thread-717774-1-1.html
“孤独更可靠”这个帖子分析的“磁碟机变种”是新出的。
跟踪此毒已经有一段时间了，发现其更新速度非常快。
随着变种的翻新，中招后的查杀难度也逐渐加大。原先的杀毒招数基本全部失灵了。
不过，今天试验了一下瑞星2008的主动防御对抗此新变种。结果还算满意。
试验条件与结果：
1、去除先前所有的磁碟机防护设置（包括“软件限制策略”、cdm.exe、cacls.exe更名等等）。
2、如图1－图2设置好瑞星主动防御规则。
3、关闭瑞星主动防御以外的所有安全防护。
4、运行孤独所说的那个新版磁碟机。
5、重启系统。
6、重系统后删除system32\com\lsass.exe和system32\dnsq.dll以外的磁碟机病毒文件（不是特意留下这两个，而是暂时还不能删除）。
7、打开注册表编辑器，将AppIn_Dlls项编辑为空。
8、重启系统。
9、重启后删除system32\com\lsass.exe和system32\dnsq.dll。
删除的病毒文件见图3。
单分区系统磁碟机中招，至此搞掂。搞掂的一个指标：IceSword等被磁碟机废掉的工具可以运行了。更详细的证据：重启后，检查磁碟机病毒文件所在目录————再无病毒文件踪影。

以上实机操作结果说明：设置好主动防御规则，即便不慎中了这个新版磁碟机，手工处理起来，也比较省事。

图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 155847200831143537.jpg

图2

附件: 155847200831143606.jpg

图3

附件: 155847200831143627.jpg

学习了...


嘿嘿..我老板电脑里有这个..我也懒得搞了..


我自已电脑还没中过...

又一次提到防

慢慢学啊

引用:

【天月来了的贴子】又一次提到防 慢慢学啊 ………………

瑞星最近几次更新杀软主程序，有些进步了。
单独开着主防，也能玩玩儿病毒了。即便是实机运行瑞星病毒库不包括得病毒样本，重启后，瑞星主防还能工作。
原来————磁碟机等病毒一进来，瑞星立刻变成红伞。重启后还是红伞

是啊

瑞星的主动防御只要能坚持撑着起来。

就好弄多了。

猫猫应该直接为论坛的朋友提供制定好的免疫病毒的规则包。这样要方便许多。

把规则导出让大家直接导入就行了。

引用:

【LMhust的贴子】猫猫应该直接为论坛的朋友提供制定好的免疫病毒的规则包。这样要方便许多。 把规则导出让大家直接导入就行了。 ………………

打包上传这几条规则，并不是什么难事。
但我就是不想做。
原因：
1、每个人的电脑设置不一定相同（我的系统在C盘，某人的系统非要装在D盘，规则能用？）。
2、主动防御，必须亲自动手用。否则，总是不会用或用不好。

不会设置规则？有帮助文件可以看看。看看就会。这不是什么高深的知识。

我并不是反病毒专业出身（职业：医生）。瑞星2008的主动防御，我用了也就是两个来月吧。

其实，在其上修改也比重新创建要方便很多。

你可能在虚拟机上跑过这个病毒所以针对于磁碟机你可以做出相对较细致的规则，你可以阻止某类病毒相应的动作，但是其它人可能就没有这个功夫了。

一般大家定规则也只会定个抽象的，像我看了你的报告后我就只会去定一些“阻止C盘下生成文件”，“阻止system32\com”下生成文件，然后在“系统加固”中作些补充。对具体的阻止哪一个文件生成我想这样定下去会很花时间。

顶个，收了

多谢分享

\ ....很努力的追赶。。

猫叔，经常看你发的帖子，由衷的佩服您。

针对磁碟机这个病毒，根据您之前写的相关的文章，我写了个批处理（下面附件的“zip文件”），您给看看，是否有利于我们这些菜鸟使用。

附件: 929162200832111228.zip

引用:

【一直在学习的人的贴子】猫叔，经常看你发的帖子，由衷的佩服您。 针对磁碟机这个病毒，根据您之前写的相关的文章，我写了个批处理，您给看看，是否有利于我们这些菜鸟使用。 ………………

如果条件允许，且有后手（万一失手后的补救措施），可以实机搞一下。看看效果。

引用:

【一直在学习的人的贴子】猫叔，经常看你发的帖子，由衷的佩服您。 针对磁碟机这个病毒，根据您之前写的相关的文章，我写了个批处理（下面附件的“zip文件”），您给看看，是否有利于我们这些菜鸟使用。 ………………

kd.bat————运行没问题

附件: 155847200832112434.jpg

引用:

【一直在学习的人的贴子】猫叔，经常看你发的帖子，由衷的佩服您。 针对磁碟机这个病毒，根据您之前写的相关的文章，我写了个批处理（下面附件的“zip文件”），您给看看，是否有利于我们这些菜鸟使用。 ………………

想中上磁碟机，然后再试你的kd.bat。
无奈：
俺的cmd.exe和cacls.exe早就打包、加密存放了（原位置上的cmd.exe和cacls.exe被我彻底删除了）。这磁碟机中不上（图）。
懒得再折腾cmd.exe和cacls.exe解包了。

附件: 155847200832112713.jpg

麻烦猫版给个样本:kxsystem@163.com

引用:

【baohe的贴子】 想中上磁碟机，然后再试你的kd.bat。 无奈： 俺的cmd.exe和cacls.exe早就打包、加密存放了（原位置上的cmd.exe和cacls.exe被我彻底删除了）。这磁碟机中不上（图）。 懒得再折腾cmd.exe和cacls.exe解包了。 ………………

主动防御,和这些都学习了！



问一下猫叔：假如cmd.exe和cacls.exe在病毒中招以前，就没有删除，中招之后，再删除这两个文件，是不是还有些效？（是不是病毒通过这两个启动之后，就不会再依赖这两个文件？）

另询问一下：把CMD.exe和cacls.exe改名，是否也能达到防范的目的？（因为有时需要用到CMD.exe，发现改名之后仍可正常运行。所以想问一下）

引用:

【闪电风暴的贴子】麻烦猫版给个样本:kxsystem@163.com ………………

样本已经发到kxsystem@163.com

引用:

【baohe的贴子】 想中上磁碟机，然后再试你的kd.bat。 无奈： 俺的cmd.exe和cacls.exe早就打包、加密存放了（原位置上的cmd.exe和cacls.exe被我彻底删除了）。这磁碟机中不上（图）。 懒得再折腾cmd.exe和cacls.exe解包了。 ………………

我主要的思路是：
1.您之前提到病毒会调用系统的命令cacls.exe（这个命令我看了一下，是设置ntsf文件系统文件夹的访问权限的），进行自我保护，将其改名，病毒就调用不到了。
2.
对于已经中此毒的机器，远行此bat后，电脑会立刻重启（病毒出于自我保护），重启后病毒已经不能注入全局钩子（dnsq.dll），lsass.exe和smss.exe(是病毒的， 不是系统的）已经不能运行，桌面总是闪（不断启explorer.exe进程导致的，就那样），等几分钟后从任务管理中看到仅剩一个lsass*.exe的进程，结束后杀毒软件及一些工具均可以打开了。也就是，
    （1）重启电脑后打开任务管理器结束lsass*.exe或直接使用瑞星的专杀工具diskgen.exe杀毒
    （2）杀毒软件可以打开了，升级，全盘杀毒
对于没有中毒的机器，可以免疫（旁门左道）。
3.电脑已经没有病毒的情况下可以看一下bat源文件中的后半部分命令。

bat命令解释：

attrib -h -r -s -a %systemroot%\system32\dnsq.dll
ren %systemroot%\system32\dnsq.dll dnsq.dll~
这个命令是实现猫叔您提到的改名大法（我又发挥了一下），呵

md %systemroot%\system32\dnsq.dll
创建一个和病毒文件名一样的文件夹
echo y|cacls1 %systemroot%\system32\dnsq.dll /c /d Administrator
对文件夹加权限，使得病毒程序无法删除，无法再创建病毒文件

又更新了？！瑞星的DISKGEN专杀也更新一下？（FANYE）

现在瑞星的diskgen专杀（1.1版的）测了一下，可以处理的，就是需要注意几点：
1.打开专杀如窗口被关，开两到三个专杀的窗口，都点杀毒；
2.专杀杀毒完后，杀毒软件依旧打不开，需要重启一下电脑，杀毒软件就可以打开了；
3.因病毒破坏的杀毒软件的文件监控驱动，故是黄伞，杀毒后修复一下杀毒软件就可以了；
4.病毒删除了文件夹选项中的隐藏受保护的操作系统文件，还有删除了安全模式对应的注册表项，专杀如能修复这些项就好了。