随机7位或8位文件名病毒的防护重点
近来,这类带IFEO劫持的病毒已有成灾之势。中招后,杀软、防火墙等安全软件均不能运行,安全模式被破坏;SRENG不能运行(无法扫日志求助);IceSword等常用手工杀毒工具也不能运行;系统日期被更改;据说打开IE用百度搜索含“杀毒”、“瑞星”等关键字的资料时,IE都会被关闭。真是令人抓狂!
已经观察过几个变种,伎俩大同小异。如果用户有Tiny这样的4D防护(AD、FD、RD、ID)工具并设置到位,基本不会中这类病毒。
退一步说,即使没有4D防护工具,只要用户把住注册表写入这关,即使中了这类病毒,也不至于陷于“焦头烂额、无从下手”的地步。不但安全软件不能被病毒整垮,SRENG、ICESWORD等工具也能正常运行。
为了证明这一说法,我特意取消了Tiny中“程序防护、文件防护”(AD、FD)相应规则(鉴于WINDOWS文件夹属于重点保护对象,此文件夹的防护规则未取消),注册表防护(RD)原有规则不动,并加入以下两条规则:
1、禁止写入/删除TINY和瑞星的服务项、驱动项;
2、禁止创建/写入IFEO项。
取消TINY的“系统权限/代码注入/对象安全性改变防护”(否则病毒无法运行),但用禁止关闭进程,禁止强迫关机。最后,实机运行worm.pabug.db。
以下是病毒运行后的实际记录
图1:病毒的一个文件释放被阻止(红框;因为WINDOWS文件夹的防护未取消);病毒模块插入了应用程序进程(蓝框);病毒试图终止瑞星进程的动作被阻止(绿框;TINY的“禁止强迫进程终止”规则生效);病毒.exe程序自身结束运行(黑框);病毒模块试图关闭应用程序进程被阻止(粉框)。
病毒试图写入IFEO劫持项被阻止(黄色高亮部分)。
