瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

12   1  /  2  页   跳转

[原创] WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

收藏
本主题由 大版主 baohe 于 2010-7-22 15:02:11 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-07-21 17:46 | 只看楼主 短消息 资料
字号: 1楼

WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

在网上看了些资料,说Stuxnet快捷方式病毒的那两个.tmp文件实际上是DLL文件。

由此想到了用WINDOWS7 的的Applocker强制规则预防这类病毒。
规则设置如下:




因没有此毒样本,故无法检测实际预防效果。谁有样本,请提供一个。谢谢!

另:windows7 提示:启用applocker的DLL规则,有可能拖慢系统运行。我设置如上规则后,重启电脑,并运行了RAV2011、OPERA浏览器、IE8、 OFFICE2010 等,未发现系统速度变慢。

用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.60
分享到:
gototop
 
是昔流芳
头像
卡卡反病毒小组
  • 帖子:646
  • 注册: 2009-05-10
  • 来自:青鸾峰
发表于: 2010-07-21 17:59 | 短消息 资料
字号: 2楼

回复:WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

样本某论坛上就有,多逛逛就发现了
My Blog
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2010-07-21 18:02 | 短消息 资料
字号: 3楼

回复:WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

这个漏洞比较可怕 一个可以触发漏洞的lnk文件 一个lnk指向的dll 当使用资源管理器查看那个Lnk之后 Explorer.exe会自动加载那个lnk指向的动态库文件  所以说一“看到”那个文件 就中毒
非常危险
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-07-21 18:03 | 只看楼主 短消息 资料
字号: 4楼

回复: WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防



引用:
原帖由 是昔流芳 于 2010-7-21 17:59:00 发表
样本某论坛上就有,多逛逛就发现了  



你说的是剑盟的那个?


试过了:
先关闭杀软。再去掉Shortcut to.lnk.txt文件名中的.txt, 将那三个文件拷贝到U盘根目录下。然后,拔掉U盘,再插。
结果:病毒不运行。
gototop
 
病毒4
头像
叱咤花甲狮
  • 帖子:7290
  • 注册: 2008-09-05
  • 来自:
万圣之夜勋章论坛8周年活动礼物就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞十周年国庆61周年2010国庆勋章论坛12周年勋章
发表于: 2010-07-21 18:03 | 短消息 资料
字号: 5楼

回复:WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

Applocker还有DLL规则?
我没看到
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-07-21 18:04 | 只看楼主 短消息 资料
字号: 6楼

回复: WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防



引用:
原帖由 newcenturymoon 于 2010-7-21 18:02:00 发表
这个漏洞比较可怕 一个可以触发漏洞的lnk文件 一个lnk指向的dll 当使用资源管理器查看那个Lnk之后 Explorer.exe会自动加载那个lnk指向的动态库文件   所以说一“看到”那个文件 就中毒
非常危险



我有准备,但没样本。
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-07-21 18:29 | 短消息 资料
字号: 7楼

回复:WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

猫叔又出新作品了,学习一下
要深入,要专一.......
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-07-21 19:08 | 短消息 资料
字号: 8楼

回复: WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

猫叔你看一下我在卡饭找的这个样本,看看是不是你所说的样本,我没怎么测试。


此文件就是两个.tmp文件。

附件附件:

文件名:20.rar
下载次数:258
文件类型:application/octet-stream
文件大小:
上传时间:2010-7-21 19:08:05
描述:rar

要深入,要专一.......
gototop
 
病毒4
头像
叱咤花甲狮
  • 帖子:7290
  • 注册: 2008-09-05
  • 来自:
万圣之夜勋章论坛8周年活动礼物就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞十周年国庆61周年2010国庆勋章论坛12周年勋章
发表于: 2010-07-21 19:28 | 短消息 资料
字号: 9楼

回复:WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

猫叔,俺滴Applocker没见到dll的规则呀
gototop
 
病毒4
头像
叱咤花甲狮
  • 帖子:7290
  • 注册: 2008-09-05
  • 来自:
万圣之夜勋章论坛8周年活动礼物就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞十周年国庆61周年2010国庆勋章论坛12周年勋章
发表于: 2010-07-21 19:30 | 短消息 资料
字号: 10楼

回复: WINDOWS7的Applocker强制规则与Stuxnet快捷方式病毒的预防

猫叔,俺找到了
原来在这里
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT