感染型病毒“修复Kaspersky”中招后的一种临时措施 bbs.ikaka.com

baohe - 2008-7-7 15:34:00

这DD近期流行。中招后，此毒广泛感染文件是其令人头大之处。
今天试了试XP专业版的“软件限制策略”，可以算是“抱佛脚”的招吧。能禁止系统中的病毒文件运行。
先运行从剑盟拿来的病毒样本(http://bbs.janmeng.com/thread-776805-1-1.html)，引狼入室。
接下来，打开组策略编辑，添加一条散列规则（图1）。

此散列规则是针对C盘根目录下的病毒文件1Q0TAQ29.exe加的（图2）。

由于这个“修复Kaspersky”散布在系统中的病毒文件都具有相同的MD5，因此，加上这条散列规则后，其它目录下的病毒程序也不能运行了（图3）。

剩下的，您尽可等着升级杀软病毒库，灭掉硬盘中的病毒即可。

被删除的安全模式，可用工具修复。

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

天月来了 - 2008-7-7 15:40:00

猫总那么的善于利用眼前能折腾的，能利用的好东西:default7:

过客2007 - 2008-7-7 19:47:00

学习了

超级游戏迷 - 2008-7-7 20:18:00

文件感染型病毒，比较闹心，光靠日志分析是没办法彻底解决的……:default2:

baohe - 2008-7-7 20:35:00

引用:

原帖由 超级游戏迷 于 2008-7-7 20:18:00 发表
文件感染型病毒，比较闹心，光靠日志分析是没办法彻底解决的……:default2:

靠日志杀毒，越来越难以搞掂了。
http://bbs.ikaka.com/showtopic-8521634.aspx

轩辕小聪 - 2008-7-7 20:40:00

引用:

原帖由 超级游戏迷 于 2008-7-7 20:18:00 发表
文件感染型病毒，比较闹心，光靠日志分析是没办法彻底解决的……:default2:

这叫覆盖型，直接覆盖掉文件前面0x8000字节，改成病毒内容。被修改的文件根本就无法修复。

networkedition - 2008-7-8 12:58:00

猫叔出品必属精品

freeflay - 2008-7-9 9:53:00

杀毒还得善懂脑袋瓜子。。。。

苦命僧 - 2008-7-10 21:44:00

好久没来了，果然出新家伙了，谁能给我说说，这个中毒后的症状？？这个目前只能用猫叔的方法预防？还是中毒后用这方法抑制？？

Mutex - 2008-7-11 2:30:00

这个病毒和新 Lenovo ，伪装 WinRAR 图标的那个感染是一样的。

经过了很多变种了，我最早见过的是直接文件覆盖，后来是前端直接覆盖。

后来是遗传 Resource Directory ，再后来就是抓图标了。反正都是无法修复，残忍。

国家机密001 - 2008-7-11 21:47:00

好,太好了

国家机密001 - 2008-7-11 21:47:00

:default6:

琼台听雨 - 2008-7-11 21:55:00

引用:

原帖由 轩辕小聪 于 2008-7-7 20:40:00 发表

引用:

原帖由 超级游戏迷 于 2008-7-7 20:18:00 发表
文件感染型病毒，比较闹心，光靠日志分析是没办法彻底解决的……:default2:

这叫覆盖型，直接覆盖掉文件前面0x8000字节，改成病毒内容。被修改的文件根本就无法修复。

汗，文件头和区段都被覆盖了，不如直接替换算了，何必这样感染。。。

瑞星卡卡安全论坛