瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 瑞星木马行为防御自定义规则用法和范例

123   1  /  3  页   跳转

[原创] 瑞星木马行为防御自定义规则用法和范例

瑞星木马行为防御自定义规则用法和范例

基于置顶帖对于木马行为编辑器的使用方法描述,我们可以根据病毒的一些特性添加适当的规则以防范某些恶意病毒,现举几例给大家参考:

一、常见的盗号木马防范

常见的盗号木马一般会释放dll文件,并注入Explorer.exe等进程,设置全局挂钩,并设置ShellExeHooks,AppinitDLLs等键值以便开机加载。因此我们可以设置如下规则
病毒记录名称
可疑盗号木马
在这里我们可以将病毒的动作“分解”开来加规则。
1.注册表部分
2.注入Explorer.exe等进程部分
3.主程序释放文件并设置系统挂钩部分

在此就可以拆开成三个可疑盗号木马的规则

1.病毒特征:弱自启动,释放WIN32_DLL文件(该规则的含义是有程序试图释放Win32_DLL文件,并将其设置为启动。弱自启动的含义就是其他程序将他设置为启动)

2.病毒特征:释放WIN32_DLL文件
病毒恶意指令序:
注册表规则
监控的键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
勾选包含子键和目标是键
该规则的含义是:如果有程序释放DLL文件,并且往HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks里面写入内容则报警


3.病毒特征:释放并加载全局钩子,释放WIN32_DLL文件
该规则的含义是:如果有程序释放DLL文件,并设置全局钩子,则报警。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727)

附件附件:

文件名:Snap1.jpg
下载次数:8112
文件类型:image/pjpeg
文件大小:
上传时间:2008-10-22 22:17:56
描述:jpg
预览信息:EXIF信息



最后编辑newcenturymoon 最后编辑于 2009-02-11 20:32:12
分享到:
gototop
 

回复: 瑞星木马行为防御规则用法和范例

二、常见感染型病毒的防范规则

感染型病毒一般的特征是:复制自身,遍历exe文件(网页文件,脚本等),修改它们
我们可以在遍历文件时候常调用的FindfirstFile函数来监控类似恶意行为。
1.可疑感染型病毒规则之一
病毒特征:强自复制
API规则:
查找文件 监控规则:目录名-包含-?:\
文件名-字符串是-*.*
该规则的含义是:当有病毒执行自复制并且遍历目录名中包含?:\且文件名为*.* 的文件则报警。那么只要病毒调用FindfirstFile函数遍历*.*文件时候则报警,因为所有的目录都
包含":\"  ?为通配符代表任意字母

2.可疑感染型病毒规则之二
病毒特征:强自复制
API规则:
查找文件 监控规则:目录名-包含-?:\
文件名-包含-exe
该规则的含义是:当有病毒执行自复制并且遍历目录名中包含?:\且文件名包含exe的文件则报警。



3.可疑感染型病毒规则之三
病毒特征:强自复制
API规则:
查找文件 监控规则:目录名-包含-?:\
文件名-包含-html
该规则的含义是:当有病毒执行自复制并且遍历目录名中包含?:\且文件名包含html的文件则报警。
注意:不宜将三个规则合并到一起
那样则变为了只有当病毒同时遍历exe和html文件的时候才报警。
gototop
 

回复: 瑞星木马行为防御规则用法和范例

三、常见后门病毒的防范

后门病毒通常释放一个程序,注册服务,并启动一个IE或者其他进程连接网络。
根据病毒的特点我们可以设置这样的规则防范后门病毒
病毒特征:强自复制,释放服务程序
API规则
创建进程 监控规则:被启动进程-文件名,不包含路径-包含-iexplore
该操作的含义是:当有病毒复制自身,并启动一个服务,且启动一个进程,该进程的文件名中包含iexplore则报警
类似的后门病毒还可能启动svchost,calc等进程,以此类推。


四、保护特殊文件夹
系统文件夹等文件夹通常是病毒的必争之地,我们可以设置更加严厉的规则保护系统文件夹
文件规则:
创建文件 文件全路径-包含%windir% 主文件类型-数值等于2
创建进程 文件全路径-包含%windir% 主文件类型-数值等于2
规则编辑器支持环境变量,因此可以用%windir%代表Windows文件夹或者winnt文件夹,该规则的含义是当有病毒在包含%windir%的目录中创建PE文件并执行它的时候则报警。


注意:创建文件在前,创建进程在后。有顺序的。

五 可疑下载者的防范

某些下载者病毒会下载木马或者病毒到temp文件夹或者IE临时文件夹中并启动它们。针对于此我们可以编写类似的规则防范。
文件规则:
新建文件 监控规则:目录名-包含-temp
主文件类型-数值等于-2(2=PE文件,1=非PE文件)
API规则:
创建进程 监控规则:目录名-包含-temp
主文件类型-数值等于-2
该规则的含义是:当有进程在目录名中包含temp的目录中创建一个PE文件,并将它启动(创建进程)则报警。
IE临时文件夹Temporary Internet Files目录也包含temp字符,所以此条规则可以同时监控Ie临时文件夹。

gototop
 

回复: 瑞星木马行为防御规则用法和范例

六、U盘病毒的防范

U盘病毒是在可移动存储或者其他分区根目录创建autorun.inf并将自身复制到相应的盘中的一种病毒,我们可以这样设置规则防范U盘病毒。
病毒特征:强自复制
文件规则
任意操作文件 文件名-不包含路径-包含-autorun.inf
此规则的含义是:当有病毒复制自身,并创建(修改)autorun.inf文件时则报警。


七、保护特殊进程
某些特殊进程容易被病毒注入,因此我们可以对其加以保护
如保护iexplore.exe进程

API规则
远程线程:被注入进程-文件名,不包含路径-包含-iexplore
该规则的含义是:如果病毒注入了iexplore则报警。
类似的还可以保护Explorer.exe,svchost.exe等。


八、监控容易被病毒调用的程序

很多病毒可以调用系统中的某些文件做坏事,如调用ntsd结束杀毒软件,调用cmd删除自身等等,调用iexplore.exe,svchost.exe联网等,可以设置类似规则防止。
API规则
创建进程 被启动进程-文件名,不包含路径-包含-ntsd.exe
则有病毒启动ntsd.exe时候就报警。


九、关键注册表项的监控
某些注册表项是病毒经常修改的,我们可以对其进行监控。
比如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下面的CheckedValue值,该值正常为1,病毒经常修改它导致
隐藏文件不可见,我们可以设置规则监控该值的修改。
注册表规则
监控的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
监控的值CheckedValue
监控规则:注册表数据-数值等于1
当然我们可以对HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL整个键进行监控,此时只需填写
监控的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
并勾选目标是键选项。



其他的规则大家可以探索着添加,这篇文章只是抛砖引玉,大家可以添加更符合自身电脑环境的规则以使得瑞星的木马行为规则更加强大。

附两张木马行为规则报警时候的截图:

盗号木马


U盘病毒
本帖被评分 1 次
最后编辑newcenturymoon 最后编辑于 2008-10-22 22:36:22
gototop
 

回复:瑞星木马行为防御自定义规则用法和范例

很复杂,收藏拜读
gototop
 

回复:瑞星木马行为防御自定义规则用法和范例

进来学习一下
gototop
 

回复:瑞星木马行为防御自定义规则用法和范例

常见防范内置进去就好了
gototop
 

回复:瑞星木马行为防御自定义规则用法和范例

这东西好用啊,如果能极大限度的拦截的话
杀毒就不用像中毒以后那么麻烦了
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

回复:瑞星木马行为防御自定义规则用法和范例

对于新手来说实在是麻烦。
gototop
 

回复:瑞星木马行为防御自定义规则用法和范例

真的不适合新手和菜鸟
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT