123   1  /  3  页   跳转

感染型木马下载器MSDOS.BAT的预防

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-04-08 11:03 | 只看楼主 短消息 资料
字号: 1楼

感染型木马下载器MSDOS.BAT的预防

MSDOS.BAT是目前流行的一个感染型下载器,比较BT。概要见http://forum.ikaka.com/topic.asp?board=28&artid=8442742

如果会设置“组策略”的“软件限制策略”,这个病毒很容易预防。自己添加两条规则即可(图1)。
有了这两条规则,无论运行原病毒MSDOS.BAT,还是运行被病毒替换后的那个explorer.exe,系统均不会中毒。最坏的结果是:运行被病毒替换后的那个explorer.exe后,windows文件夹中有一个windows.ext(可用IceSword删除),再无其它病毒文件释放/下载。
需要注意的是:以后的病毒变种可能针对我们这种防御措施出招。因此,应该用安全软件保护好“组策略”中的设置(禁止删除相应的文件及注册表内容,图2)。

注:“软件限制策略”默认的文件类型中并无.ext,请自己添加这个文件类型(图3)。


图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:459
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-8 11:03:21
描述:
预览信息:EXIF信息



最后编辑2008-04-16 10:50:31
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-04-08 11:03 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:431
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-8 11:03:48
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-04-08 11:04 | 只看楼主 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:458
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-8 11:04:09
描述:
预览信息:EXIF信息
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-04-08 12:59 | 短消息 资料
字号: 4楼

占沙发学习……

确实应该好好研究下操作系统自带的东西,往往当我们都在做舍近求远的事情,却浑然不知我们的操作系统已经想到了或者提供了一条更简易的途径……
gototop
 
pigboy
头像
卡卡反病毒小组
  • 帖子:3784
  • 注册: 2007-02-22
  • 来自:
论坛8周年活动礼物十周年
发表于: 2008-04-08 13:20 | 短消息 资料
字号: 5楼

我汗  搞了一天还是重装了...
gototop
 
pigboy
头像
卡卡反病毒小组
  • 帖子:3784
  • 注册: 2007-02-22
  • 来自:
论坛8周年活动礼物十周年
发表于: 2008-04-08 13:23 | 短消息 资料
字号: 6楼

猫叔  中了这个毒后可以打开冰刃的?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-04-08 14:28 | 只看楼主 短消息 资料
字号: 7楼

引用:
【pigboy的贴子】猫叔  中了这个毒后可以打开冰刃的?
………………

我的IceSword一向是启动加载的(注册表中userinit加个键值即可)
gototop
 
中分
头像
拙长孩提狮
  • 帖子:126
  • 注册: 2007-07-23
  • 来自:
发表于: 2008-04-08 20:14 | 短消息 资料
字号: 8楼

才两三天没来,又出新招了.哎,,是不是应该天天来呀.貌似又领会了点什么东东.呵呵.
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2008-04-08 21:42 | 短消息 资料
字号: 9楼

主动防御规则

附件附件:

下载次数:145
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-8 21:42:38
描述:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2008-04-08 21:50 | 短消息 资料
字号: 10楼

利用瑞星主动防御来防止删除组策略文件和注册表键值,打开瑞星的主动防御将规则导入即可。见下图:

附件附件:

下载次数:420
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-8 21:50:21
描述:
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT