死牛病毒的“死穴”
SafeSys.exe最近比较流行。其根源是
http://dddddsaa.cn/00.csshttp://dddddsaa.cn/00.css运行后在%Program Files%\Common Fiels目录下释放SafeSys.exe;在%Program Files%\目录下释放sNiu.dll。sNiu.dll是这个病毒废掉多种杀软和防火墙的杀手锏,它运行后,恢复SSDT并删除自身。此后的动作还有:在各个根目录下释放autorun.inf和SafeSys.exe,在%windows%\Fonts目录下释放随机名病毒文件fon,自网络下载病毒程序到中招系统中....。中招后,IceSword、SSM均不能加载运行.
在组策略中按下图设置一条规则,此毒就基本残废了(SSDT不能被其恢复,后续的病毒动作也没有了;sNiu.dll可直接删除)。
这样设置组策略后,运行病毒样本,再运行SSM或IceSword-----没任何问题。
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1