NTFS权限完全可以防止感染性下载器SysAnti.exe
SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun,inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。
接下来,首先在%windows%\Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、autoruns、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙加载运行。另:此毒释放多个病毒.dll到%system%目录和%windows%\Fonts目录;释放病毒文件.fon、.ttf到%windows%\Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;替换系统程序userinit.exe。此毒感染系统文件以外的所有.exe文件。
若防护不到位,中此毒后很麻烦。
此毒的软肋是%windows%\Fonts目录那个随机文件名的.dll。如能阻止此dll释放/加载,这个SysAnti.exe基本就是个死东西。
利用NTFS权限防范此毒的设置如下:
1、允许的操作
2、禁止的操作
防护效果:
1、运行病毒SysAnti.exe后:
2、此病毒释放dll的唯一动作已经被系统阻截(上图所示)。后续动作无法进行。用任务管理器结束SysAnti.exe进程。完事。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
