瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 从一个网马的预防看瑞星2010应用程序控制设置的缺陷

1   1  /  1  页   跳转

从一个网马的预防看瑞星2010应用程序控制设置的缺陷

从一个网马的预防看瑞星2010应用程序控制设置的缺陷

np.exe、nq.exe、nr.exe其实是同一个网马。此马不停的变。变了以后,瑞星2010就查不出。


但此马有个特点:运行后在system32目录下创建一个wina*.ime文件(*代表可变字符)。这个程序插入explorer.exe进程(可能还插入其它正常程序进程)。如果能阻止wina*.ime创建,则此马就是个死物。


用tiny可以设置一条带通配符的规则,禁止任何程序在system32目录下创建wina*.ime文件,即可防住此毒。下图是实际运行的防护结果。运行病毒后,检查system32目录下内容,无wina*.ime文件生成,nq.exe进程自动结束。证明防护规则有效。








然而,瑞星2010的“应用程序控制”设置至今不支持通配符,因此无法仿照上面的思路防护。

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
最后编辑baohe 最后编辑于 2010-03-15 11:49:07
分享到:
gototop
 

回复:从一个网马的预防看瑞星2010应用程序控制设置的缺陷

感谢楼主的支持,您提交的的建议已经上报,请继续关注瑞星~
gototop
 

回复:从一个网马的预防看瑞星2010应用程序控制设置的缺陷

该用户帖子内容已被屏蔽
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT