回收站图标病毒2.exe bbs.ikaka.com

baohe - 2009-1-10 17:07:00

瑞星21.11.51.00病毒库不报毒。

估计还是那个“网际快车”图标的病毒变种。

此毒貌似好防：只要那个c:\windows\下的.txt创建被禁止，病毒的后续动作便无法进行（图1）

附件: 您所在的用户组无法下载或查看附件

结束其进程及其打开的conime.exe进程（图2）。完事了。

附件: 您所在的用户组无法下载或查看附件

样本在附件中（密码：123）

附件: 您所在的用户组无法下载或查看附件

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

aaccbbdd - 2009-1-10 17:19:00

估计还是那个“网际快车”图标的病毒变种。
岂不是感染型:default2:

baohe - 2009-1-10 17:26:00

引用:

原帖由 aaccbbdd 于 2009-1-10 17:19:00 发表
估计还是那个“网际快车”图标的病毒变种。
岂不是感染型:default2:

这个不感染.exe。
而是遍历program files目录，凡存在.exe程序的目录下，均创建一个同名的.exe.com病毒文件（99K）。

晕４ - 2009-1-10 18:19:00

怎么都是调是conime.exe的。。

下到虚拟机那里试试

:default7: 菜鸟学习了

晕４ - 2009-1-10 19:09:00

:default21:
猫叔没错

的确是快车病毒的变种

除了感染exe文件之外

还感染了ca hips的文件

看来还要组一些规则阻止这变态的病毒了。。。。

P.S:被感染的病毒除了冰刃和某些工具没变成快车图标外，其他大多都变成快车图彼了。。

晕４ - 2009-1-10 19:14:00

引用:

原帖由 baohe 于 2009-1-10 17:07:00 发表

此毒貌似好防：只要那个c:\windows\下的.txt创建被禁止，病毒的后续动作便无法进行（图1）

请教猫叔叔怎么样禁止病毒的创建?

baohe - 2009-1-10 19:41:00

引用:

原帖由晕４于 2009-1-10 19:14:00 发表

引用:

原帖由 baohe 于 2009-1-10 17:07:00 发表

此毒貌似好防：只要那个c:\windows\下的.txt创建被禁止，病毒的后续动作便无法进行（图1）

请教猫叔叔怎么样禁止病毒的创建?

高权限文件防护规则概要：

附件: 您所在的用户组无法下载或查看附件

object项的内容（如果还要防止无后缀文件创建，再加c:\windows\*)：

附件: 您所在的用户组无法下载或查看附件

晕４ - 2009-1-10 20:37:00

:default7:
感谢猫叔

我学习了

添加规则的时候

到底选择哪个:default27:

是"Add New Rule"还是"Add New Account Specific Rule"?

tjcum210210 - 2009-1-10 21:05:00

猫叔用的是虚拟系统还是真实系统？虚拟机里调用ntvdm.exe创建tmp文件，我这怎么没有创建txt的动作。。。只有创建tmp

臭臭la - 2009-1-10 21:11:00

该用户帖子内容已被屏蔽

baohe - 2009-1-10 21:52:00

引用:

原帖由 tjcum210210 于 2009-1-10 21:05:00 发表
猫叔用的是虚拟系统还是真实系统？虚拟机里调用ntvdm.exe创建tmp文件，我这怎么没有创建txt的动作。。。只有创建tmp

既不虚拟，也不真实。影子:default6:

瑞星卡卡安全论坛