瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 磁碟机变种更新频繁,用户应注重系统防护。

123   1  /  3  页   跳转

磁碟机变种更新频繁,用户应注重系统防护。

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 14:47 | 只看楼主 短消息 资料
字号: 1楼

磁碟机变种更新频繁,用户应注重系统防护。


http://bbs.janmeng.com/thread-717774-1-1.html
“孤独更可靠”这个帖子分析的“磁碟机变种”是新出的。
跟踪此毒已经有一段时间了,发现其更新速度非常快。
随着变种的翻新,中招后的查杀难度也逐渐加大。原先的杀毒招数基本全部失灵了。
不过,今天试验了一下瑞星2008的主动防御对抗此新变种。结果还算满意。
试验条件与结果:
1、去除先前所有的磁碟机防护设置(包括“软件限制策略”、cdm.exe、cacls.exe更名等等)。
2、如图1-图2设置好瑞星主动防御规则。
3、关闭瑞星主动防御以外的所有安全防护。
4、运行孤独所说的那个新版磁碟机。
5、重启系统。
6、重系统后删除system32\com\lsass.exe和system32\dnsq.dll以外的磁碟机病毒文件(不是特意留下这两个,而是暂时还不能删除)。
7、打开注册表编辑器,将AppIn_Dlls项编辑为空。
8、重启系统。
9、重启后删除system32\com\lsass.exe和system32\dnsq.dll。
删除的病毒文件见图3。
单分区系统磁碟机中招,至此搞掂。搞掂的一个指标:IceSword等被磁碟机废掉的工具可以运行了。更详细的证据:重启后,检查磁碟机病毒文件所在目录————再无病毒文件踪影。

以上实机操作结果说明:设置好主动防御规则,即便不慎中了这个新版磁碟机,手工处理起来,也比较省事。

图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:486
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-1 14:47:26
描述:
预览信息:EXIF信息



最后编辑2008-03-02 13:00:20
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 14:47 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:473
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-1 14:47:55
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 14:48 | 只看楼主 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:500
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-1 14:48:16
描述:
预览信息:EXIF信息
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2008-03-01 14:49 | 短消息 资料
字号: 4楼

学习了...


嘿嘿..我老板电脑里有这个..我也懒得搞了..


我自已电脑还没中过...
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-01 15:34 | 短消息 资料
字号: 5楼

又一次提到防

慢慢学啊
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 15:45 | 只看楼主 短消息 资料
字号: 6楼

引用:
【天月来了的贴子】又一次提到防

慢慢学啊
………………

瑞星最近几次更新杀软主程序,有些进步了。
单独开着主防,也能玩玩儿病毒了。即便是实机运行瑞星病毒库不包括得病毒样本,重启后,瑞星主防还能工作。
原来————磁碟机等病毒一进来,瑞星立刻变成红伞。重启后还是红伞
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-01 15:52 | 短消息 资料
字号: 7楼

是啊

瑞星的主动防御只要能坚持撑着起来。

就好弄多了。
gototop
 
LMhust
头像
特邀体验者
  • 帖子:2953
  • 注册: 2006-03-12
  • 来自:
论坛8周年活动礼物就爱不长大论坛9周年纪念10温馨圣诞瑞星金牌用户
发表于: 2008-03-01 17:13 | 短消息 资料
字号: 8楼

猫猫应该直接为论坛的朋友提供制定好的免疫病毒的规则包。这样要方便许多。

把规则导出让大家直接导入就行了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 17:22 | 只看楼主 短消息 资料
字号: 9楼

引用:
【LMhust的贴子】猫猫应该直接为论坛的朋友提供制定好的免疫病毒的规则包。这样要方便许多。

把规则导出让大家直接导入就行了。
………………

打包上传这几条规则,并不是什么难事。
但我就是不想做。
原因:
1、每个人的电脑设置不一定相同(我的系统在C盘,某人的系统非要装在D盘,规则能用?)。
2、主动防御,必须亲自动手用。否则,总是不会用或用不好。

不会设置规则?有帮助文件可以看看。看看就会。这不是什么高深的知识。

我并不是反病毒专业出身(职业:医生)。瑞星2008的主动防御,我用了也就是两个来月吧。
gototop
 
LMhust
头像
特邀体验者
  • 帖子:2953
  • 注册: 2006-03-12
  • 来自:
论坛8周年活动礼物就爱不长大论坛9周年纪念10温馨圣诞瑞星金牌用户
发表于: 2008-03-01 17:40 | 短消息 资料
字号: 10楼

其实,在其上修改也比重新创建要方便很多。

你可能在虚拟机上跑过这个病毒所以针对于磁碟机你可以做出相对较细致的规则,你可以阻止某类病毒相应的动作,但是其它人可能就没有这个功夫了。

一般大家定规则也只会定个抽象的,像我看了你的报告后我就只会去定一些“阻止C盘下生成文件”,“阻止system32\com”下生成文件,然后在“系统加固”中作些补充。对具体的阻止哪一个文件生成我想这样定下去会很花时间。
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT