瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

12   1  /  2  页   跳转

[原创] WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

收藏
本主题由 大版主 baohe 于 2011-7-3 17:37:35 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-06-29 15:43 | 只看楼主 短消息 资料
字号: 1楼

WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

样本名:1314.exe
来源:卡饭
卡巴斯基报:Trojan-Dropper.Win32.TDSS.apil
MD5  : da4b235fd9911417a371bbc31d9efe31
SHA1  : 3fee692aa49299e5f350ea35b1306e821498b298
SHA256: 128f9985aaf014ea50a7385009f661b631ef4fbb336ec4c0639cc1c2b2a857a2
在WINDOWS7系统中,废掉此变种的一招是——用HIPS禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作。

用CA HIPS设置规则,禁止非系统程序写入C:\Windows\system32\Tasks目录,然后运行此样本,此变种在WIN7系统完整运行后,在当前用户临时目录下释放的N个病毒文件,就死掉了。这些病毒文件可直接删除。


用WINPE U盘引导系统至PE环境,查看MBR及硬盘尾部诸扇区————均正常。
由于有上述CA HIPS那条规则保护,在WINDOWS环境中运行此毒后,用DISKPART命令可查看硬盘(在中此毒的系统中执行DISKPART命令系统即刻崩溃重启)。



用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76896
  • 注册: 2007-02-06
  • 来自:
发表于: 2011-06-29 17:19 | 短消息 资料
字号: 2楼

回复:WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作

对很多人来说,很难了。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-06-29 17:20 | 只看楼主 短消息 资料
字号: 3楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 天月来了 于 2011-6-29 17:19:00 发表
禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作

对很多人来说,很难了。

 



这就是CA HIPS对程序实行分组管理的好处。
gototop
 
流浪●剑尊
头像
叱咤花甲狮
  • 帖子:2117
  • 注册: 2010-01-01
  • 来自:中华人民共和国
就爱不长大十周年国庆61周年与爱同行
发表于: 2011-06-30 08:02 | 短消息 资料
字号: 4楼

回复:WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

占位好好的研读一下
专业维修核潜艇、反应堆,xxx 头翻新、抛光、打蜡,回收二手航母,清洗航母油槽,航天飞机保养换三滤,高空作业清洗卫星表面灰尘,批发歼-10.F22.F35.B2轰炸机,各类xxx 头,量大从优,有xxx,三个月内提货,送两年免费保养和飞机后视镜。另承接火车补胎,订做蚊子眼睛,蚂蚁刨腹产等业务.有正规xxx,质量三包.另外新到一批野生散养奥特曼,纯天然,无污染.一批未调试的野生多啦A梦,欲购从速!!
gototop
 
nocrack
头像
反毒学员
  • 帖子:49
  • 注册: 2011-01-02
  • 来自:
发表于: 2011-06-30 18:15 | 短消息 资料
字号: 5楼

回复:WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

还不会用hips
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-07-01 11:26 | 短消息 资料
字号: 6楼

回复:WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

。。。我禁止所有的程序 对tasks操作
开始启动菜单也禁止
FD禁写入 AD禁运 双重防护

附件附件:

下载次数:7701
文件类型:image/jpeg
文件大小:
上传时间:2011-7-1 11:31:46
描述:jpg



最后编辑奇缘の随风 最后编辑于 2011-07-01 11:31:46
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-07-01 12:13 | 短消息 资料
字号: 7楼

回复:WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

猫叔 可以试试 Endpoint Total Defense R rc  http://www.uudisc.com/user/tearstain/file/4082833
CA产品中提取的 hips 版本
明媚汉化、修正  比你手上的新。
你手上的也是明媚汉化的!
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-07-01 15:31 | 只看楼主 短消息 资料
字号: 8楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 奇缘の随风 于 2011-7-1 12:13:00 发表
猫叔 可以试试 Endpoint Total Defense R rc  http://www.uudisc.com/user/tearstain/file/4082833
CA产品中提取的 hips 版本
明媚汉化、修正  比你手上的新。
你手上的也是明媚汉化的!


WIN7 SP1 系统。



卸载旧版CA HIPS。重启。


然后运行你提供的 那个 Endpoint Total Defense R 1.65.12 Vista & Above Final.exe


报错。


无法安装。


















C:\Windows\System32\FDInstall.log内容如下:



--------------------------------------------------------------------------------
Installing firewall driver from "C:\Program Files\CA\SharedComponents\HIPSEngine\Install" ...
--------------------------------------------------------------------------------
CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

INetCfg::FindComponent returns 0x00000001

INetCfg::FindComponent returns 0x00000001

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

PrepVista(CA certificate) returns S_OK

PrepVista(Verisign certificate) returns S_OK

CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

_wsplitpath_s returns S_OK

SetupCopyOEMInfW("C:\Program Files\CA\SharedComponents\HIPSEngine\Install\KmxFilter.inf", "C:\Program Files\CA\SharedComponents\HIPSEngine\Install\", 1)

SetupCopyOEMInfW returns 0x80070002

HrInstallNetComponent returns 0x80070002

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

InstallSpecifiedComponent returns 0x80070002


--------------------------------------------------------------------------------
Installing firewall driver from "C:\Program Files\CA\SharedComponents\HIPSEngine\Install" ...
--------------------------------------------------------------------------------
CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

INetCfg::FindComponent returns 0x00000001

INetCfg::FindComponent returns 0x00000001

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

PrepVista(CA certificate) returns S_OK

PrepVista(Verisign certificate) returns S_OK

CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

_wsplitpath_s returns S_OK

SetupCopyOEMInfW("C:\Program Files\CA\SharedComponents\HIPSEngine\Install\KmxFilter.inf", "C:\Program Files\CA\SharedComponents\HIPSEngine\Install\", 1)

SetupCopyOEMInfW returns 0x80070002

HrInstallNetComponent returns 0x80070002

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

InstallSpecifiedComponent returns 0x80070002
最后编辑baohe 最后编辑于 2011-07-01 16:09:36
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-07-01 17:09 | 短消息 资料
字号: 9楼

回复 8F baohe 的帖子

里面有2个版本都无法安装么?
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-07-01 17:21 | 只看楼主 短消息 资料
字号: 10楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 奇缘の随风 于 2011-7-1 17:09:00 发表
里面有2个版本都无法安装么?



我的系统是WIN7。所以我想应该是运行 Endpoint Total Defense R 1.65.12 Vista & Above Final.exe




Endpoint Total Defense R 1.65.12  Final.exe,这个应该是供XP系统用的吧?
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT