瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 从一个网马的预防看瑞星2010应用程序控制设置的缺陷
baohe - 2010-3-15 11:48:00
np.exe、nq.exe、nr.exe其实是同一个网马。此马不停的变。变了以后,瑞星2010就查不出。


但此马有个特点:运行后在system32目录下创建一个wina*.ime文件(*代表可变字符)。这个程序插入explorer.exe进程(可能还插入其它正常程序进程)。如果能阻止wina*.ime创建,则此马就是个死物。


用tiny可以设置一条带通配符的规则,禁止任何程序在system32目录下创建wina*.ime文件,即可防住此毒。下图是实际运行的防护结果。运行病毒后,检查system32目录下内容,无wina*.ime文件生成,nq.exe进程自动结束。证明防护规则有效。








然而,瑞星2010的“应用程序控制”设置至今不支持通配符,因此无法仿照上面的思路防护。

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
瑞星工程师19 - 2010-3-15 12:40:00
感谢楼主的支持,您提交的的建议已经上报,请继续关注瑞星~
一二三588 - 2010-3-25 15:15:00
该用户帖子内容已被屏蔽
1
查看完整版本: 从一个网马的预防看瑞星2010应用程序控制设置的缺陷