11月5日(今天)规则包紧急更新的说明【公告】

瑞星卡卡安全论坛技术交流区 系统软件 11月5日(今天)规则包紧急更新的说明【公告】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«2 3 4 5 678 9

7 / 9 页

跳转页

猎鹰渔民初生襁褓狮帖子:816 注册: 2005-06-12 来自:	发表于： 2005-11-09 12:42 \| 短消息资料字号：小中大 61楼请教请教～～～加载防火墙的规则包关删除文件啥事呀？ ——现在最好的方式是加载最新的规则包，提前预防，如果已经感染了，规则包就能够拦截，就可以通过报警，找到程序所在位置和生成的文件名，直接删除！（经测试，如果没有加载最新规则包，即使在驱动盘下的system32找到了也是删除不了的！！！)
猎鹰渔民初生襁褓狮帖子:816 注册: 2005-06-12 来自:

lop117 初生襁褓狮帖子:17 注册: 2005-01-08 来自:	发表于： 2005-11-09 12:54 \| 短消息资料字号：小中大 62楼好厉害
lop117 初生襁褓狮帖子:17 注册: 2005-01-08 来自:

社区嘉宾

帖子:1828
注册: 2003-02-12
来自:

发表于： 2005-11-09 13:39 | 只看楼主 短消息资料

字号：小中大 63楼

引用:

【猎鹰渔民的贴子】请教请教～～～加载防火墙的规则包关删除文件啥事呀？
——现在最好的方式是加载最新的规则包，提前预防，如果已经感染了，规则包就能够拦截，就可以通过报警，找到程序所在位置和生成的文件名，直接删除！（经测试，如果没有加载最新规则包，即使在驱动盘下的system32找到了也是删除不了的！！！)
...........................

我用最通俗的语言来回答：

加载规则包后，防火墙一方面可以通过阻拦报警信息给用户提供相关文件（核心程序）的文件名，这个文件（核心程序）的真正名字是fe7zf.exe，但由于它是个带有间谍功能的反弹性木马，文件（核心程序）比较隐蔽且会随机生成其他名字（比如winlogon.exe或winffz7n.exe等等），因此只要防火墙通过阻拦报警信息就可以找到！另一方面，这个木马除了监听TCP\UDP80端口外,还能够随机选找系统没有关闭的端口,甚至借道TCP8000端口执行出入运行指令!经过样本测试分析,这个时候该木马会以正常文件名(程序名)出现在防火墙的报警信息中,以迷惑用户,比如:winlogon.exe这个程序本来是正常的程序,但如果fe7zf.exe借助这个名字出现时，就容易引起新手不知道如何取舍！第三、尽管这个木马文件名（核心文件名）不固定，但它在防火墙报警中显示出来的公司名都是数字（比如：2.02***）或干脆就没有公司名,这样就可以通过公司名来进一步确定是不是伪装的fe7zf.exe了。第四、这个木马带有系统底层执行指令001\1111\0000;;{{UDP\TCP=ab45;;00040001，最新规则包内置有阻止这个指令的特征判别码，因此如果没有加载这个规则包，防火墙就不能切断这个木马直接指向系统底层的执行指令，系统底层的接管数据就会被fe7zf.exe共享接管，这个时候不仅删除不了fe7zf.exe（在安全模式下删除后，一旦重新回到正常模式还会重新生成另外一个伪名，继续运行！），而且如果用第三方软件硬性删除后极易在电脑重新启动后造成系统崩溃！第五，尽管不加载最新规则包，在DOS里也可以安全删除，但由于上面所讲的第三方面的原因，容易造成误删！

社区嘉宾

帖子:1828
注册: 2003-02-12
来自:

发表于： 2005-11-09 13:48 | 只看楼主 短消息资料

字号：小中大 64楼

引用:

【狂刀乱舞的贴子】呵呵~~~不错,感觉我有点怕怕了,这样的话谁还用电脑呀.先支持下~~~

1、现在最好的方式是加载最新的规则包，提前预防，如果已经感染了，规则包就能够拦截，就可以通过报警，找到程序所在位置和生成的文件名，直接删除！（经测试，如果没有加载最新规则包，即使在驱动盘下的system32找到了也是删除不了的！！！) -----这句~~安全模式不给删嘛,如果真的话,那这个病毒太厉害了,非你老治不可,强!

2、目前我还没有发现有防火墙能够拦截，包括ZA，……那用他的规则就可以了嘛？
3、9000 8000 6000-6002--- 是什么端口那qq用什么端口？看来你应该让马化腾同志换换端口了,吧那个什么8000等给换了,不然怕也怀疑了

4、目前，我已将相关情况上报有关部门！-----~~~楼主是警察来的吧,是要要向公安部上报吧,上报需要什么条件?如果照楼主说的,我看应该不低4级以上紧急预警并定位病毒吧,那干净让张健叫人处理去.

^^^^^^^
...........................

我用最通俗的语言来回答：

1、加载规则包后，防火墙一方面可以通过阻拦报警信息给用户提供相关文件（核心程序）的文件名，这个文件（核心程序）的真正名字是fe7zf.exe，但由于它是个带有间谍功能的反弹性木马，文件（核心程序）比较隐蔽且会随机生成其他名字（比如winlogon.exe或winffz7n.exe等等），因此只要防火墙通过阻拦报警信息就可以找到！另一方面，这个木马除了监听TCP\UDP80端口外,还能够随机选找系统没有关闭的端口,甚至借道TCP8000端口执行出入运行指令!经过样本测试分析,这个时候该木马会以正常文件名(程序名)出现在防火墙的报警信息中,以迷惑用户,比如:winlogon.exe这个程序本来是正常的程序,但如果fe7zf.exe借助这个名字出现时，就容易引起新手不知道如何取舍！第三、尽管这个木马文件名（核心文件名）不固定，但它在防火墙报警中显示出来的公司名都是数字（比如：2.02***）或干脆就没有公司名,这样就可以通过公司名来进一步确定是不是伪装的fe7zf.exe了。第四、这个木马带有系统底层执行指令001\1111\0000;;{{UDP\TCP=ab45;;00040001，最新规则包内置有阻止这个指令的特征判别码，因此如果没有加载这个规则包，防火墙就不能切断这个木马直接指向系统底层的执行指令，系统底层的接管数据就会被fe7zf.exe共享接管，这个时候不仅删除不了fe7zf.exe（在安全模式下删除后，一旦重新回到正常模式还会重新生成另外一个伪名，继续运行！），而且如果用第三方软件硬性删除后极易在电脑重新启动后造成系统崩溃！第五，尽管不加载最新规则包，在DOS里也可以安全删除，但由于上面所讲的第三方面的原因，容易造成误删！
2、至于我的身份，对不起，我不会告诉你的，等你成了著名的、严重危害网络安全的黑客的那一天，也许你就可以见到我了，那时候你已经是我手中的罪犯---呵呵。

bastar左岸初生襁褓狮帖子:81 注册: 2005-08-25 来自:	发表于： 2005-11-09 13:55 \| 短消息资料字号：小中大 65楼菜鸟很正常，但不知天高地厚、却自以为是的超级菜鸟实在令人烦！
bastar左岸初生襁褓狮帖子:81 注册: 2005-08-25 来自:

bastar左岸初生襁褓狮帖子:81 注册: 2005-08-25 来自:	发表于： 2005-11-09 13:56 \| 短消息资料字号：小中大 66楼猎鹰渔民、狂刀乱舞=超级菜鸟！
bastar左岸初生襁褓狮帖子:81 注册: 2005-08-25 来自:

初生襁褓狮

帖子:49
注册: 2004-04-16
来自:

发表于： 2005-11-09 16:29 | 短消息资料

字号：小中大 67楼

引用:

【bastar左岸的贴子】【回复“狂刀乱舞”的帖子】不懂就别瞎说!
老穿“龟甲”不累吗？

...........................

呵呵~~~说此话之前,不知道你有没有照照镜子,看下自己.呵呵~~~~

初生襁褓狮

帖子:49
注册: 2004-04-16
来自:

发表于： 2005-11-09 16:37 | 短消息资料

字号：小中大 68楼

引用:

【寿宁的贴子】
我用最通俗的语言来回答：
第五，尽管不加载最新规则包，在DOS里也可以安全删除，但由于上面所讲的第三方面的原因，容易造成误删！
2、至于我的身份，对不起，我不会告诉你的，等你成了著名的、严重危害网络安全的黑客的那一天，也许你就可以见到我了，那时候你已经是我手中的罪犯---呵呵。
...........................

呵呵~~~如果用了你的规则就不会误删,这个实在是一个非常不错的技巧哦,哈哈~~~~
还有,你第2条的,呵呵~~~如果等我成了著名的、严重危害网络安全的黑客的那一天,我估计你应该没有戏了,也应该说,从你这句话中,对我的期待非常的高,不错,我现在可以说是一贯比较合格的了,但,我的人格没有那么低卑,我不会靠这个伎俩或者用哄骗的手段来欺骗网友.呵呵~~~最后,我说一句话,职业不是代表万能.

金猪还神初生襁褓狮帖子:30 注册: 2005-11-08 来自:	发表于： 2005-11-09 17:04 \| 短消息资料字号：小中大 69楼我想问下..你们的规则包用在天网行不?
金猪还神初生襁褓狮帖子:30 注册: 2005-11-08 来自:

初生襁褓狮

帖子:816
注册: 2005-06-12
来自:

发表于： 2005-11-09 19:32 | 短消息资料

字号：小中大 70楼

引用:

【bastar左岸的贴子】猎鹰渔民、狂刀乱舞=超级菜鸟！
...........................

狂刀乱舞是不是菜鸟偶不清楚，不过偶确实是超级菜鸟嘛，不是超级菜鸟偶在这里耗着干嘛！！！

<<上一主题|下一主题>>

«2 3 4 5 678 9

7 / 9 页

跳转页