再谈WuaucltReplace类病毒的防范
这类病毒目前很流行。多通过网页挂马、移动存贮介质传播。
中毒症状:
1、瑞星等多中杀软失效。
2、各分区根目录下出现2-5个随机字母名称的.pif文件和autorun.inf文件。
3、替换系统驱动beep.sys,恢复SSDT(使多种杀软失效的原因)。
4、替换%system%和%system%\dllcache目录下的WINDOWS自动更新程序wuauclt.exe(瑞星因此将这类病毒冠以WuacltReplace之名)。正常53K大小的wuauclt.exe被替换为23K的病毒程序wuauclt.exe。在%system%\drivers目录下释放病毒驱动npf.sys,在桌面释放一个隐藏的驱动.sys(具体名字忘记了)。
5、在Documents and Settings目录下释放数字名.pif若干。在Documents and Settings\All Users\「开始」菜单\程序\启动目录下释放一个3.pif。
6、在%Program Files%目录下释放字母名.pif一个。
7、添加IFEO劫持项N个,废掉多种杀软或杀毒辅助工具。增加中招后的查杀难度。
8、更改注册表N处。
9、下载大量木马到中招系统中。
此毒目前变种频繁,一天可以更新换代2-3次。中招后杀毒比较麻烦或杀软根本就不报毒。因此,用户应招眼预防。
以下是利用瑞星主动防御预防此毒的设置(共7个图),供有动手能力者参考。
经实机运行此毒样本若干,证实此设置的防御效果可靠。
注:此设置限制较严。禁止了驱动安装、加载,封死了系统目录以及系统驱动目录。因此,用户安装某些带驱动的应用程序时,应事先断网、关闭瑞星所有监控。然后,再安装。安装完毕,再打开瑞星监控。
用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
