瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

1   1  /  1  页   跳转

[原创] WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

收藏
本主题由 大版主 baohe 于 2011-7-3 17:37:35 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-06-29 15:43 | 显示全部 短消息 资料
字号: 1楼

WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4

样本名:1314.exe
来源:卡饭
卡巴斯基报:Trojan-Dropper.Win32.TDSS.apil
MD5  : da4b235fd9911417a371bbc31d9efe31
SHA1  : 3fee692aa49299e5f350ea35b1306e821498b298
SHA256: 128f9985aaf014ea50a7385009f661b631ef4fbb336ec4c0639cc1c2b2a857a2
在WINDOWS7系统中,废掉此变种的一招是——用HIPS禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作。

用CA HIPS设置规则,禁止非系统程序写入C:\Windows\system32\Tasks目录,然后运行此样本,此变种在WIN7系统完整运行后,在当前用户临时目录下释放的N个病毒文件,就死掉了。这些病毒文件可直接删除。


用WINPE U盘引导系统至PE环境,查看MBR及硬盘尾部诸扇区————均正常。
由于有上述CA HIPS那条规则保护,在WINDOWS环境中运行此毒后,用DISKPART命令可查看硬盘(在中此毒的系统中执行DISKPART命令系统即刻崩溃重启)。



用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-06-29 17:20 | 显示全部 短消息 资料
字号: 2楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 天月来了 于 2011-6-29 17:19:00 发表
禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作

对很多人来说,很难了。

 



这就是CA HIPS对程序实行分组管理的好处。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-07-01 15:31 | 显示全部 短消息 资料
字号: 3楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 奇缘の随风 于 2011-7-1 12:13:00 发表
猫叔 可以试试 Endpoint Total Defense R rc  http://www.uudisc.com/user/tearstain/file/4082833
CA产品中提取的 hips 版本
明媚汉化、修正  比你手上的新。
你手上的也是明媚汉化的!


WIN7 SP1 系统。



卸载旧版CA HIPS。重启。


然后运行你提供的 那个 Endpoint Total Defense R 1.65.12 Vista & Above Final.exe


报错。


无法安装。


















C:\Windows\System32\FDInstall.log内容如下:



--------------------------------------------------------------------------------
Installing firewall driver from "C:\Program Files\CA\SharedComponents\HIPSEngine\Install" ...
--------------------------------------------------------------------------------
CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

INetCfg::FindComponent returns 0x00000001

INetCfg::FindComponent returns 0x00000001

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

PrepVista(CA certificate) returns S_OK

PrepVista(Verisign certificate) returns S_OK

CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

_wsplitpath_s returns S_OK

SetupCopyOEMInfW("C:\Program Files\CA\SharedComponents\HIPSEngine\Install\KmxFilter.inf", "C:\Program Files\CA\SharedComponents\HIPSEngine\Install\", 1)

SetupCopyOEMInfW returns 0x80070002

HrInstallNetComponent returns 0x80070002

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

InstallSpecifiedComponent returns 0x80070002


--------------------------------------------------------------------------------
Installing firewall driver from "C:\Program Files\CA\SharedComponents\HIPSEngine\Install" ...
--------------------------------------------------------------------------------
CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

INetCfg::FindComponent returns 0x00000001

INetCfg::FindComponent returns 0x00000001

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

PrepVista(CA certificate) returns S_OK

PrepVista(Verisign certificate) returns S_OK

CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

_wsplitpath_s returns S_OK

SetupCopyOEMInfW("C:\Program Files\CA\SharedComponents\HIPSEngine\Install\KmxFilter.inf", "C:\Program Files\CA\SharedComponents\HIPSEngine\Install\", 1)

SetupCopyOEMInfW returns 0x80070002

HrInstallNetComponent returns 0x80070002

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

InstallSpecifiedComponent returns 0x80070002
最后编辑baohe 最后编辑于 2011-07-01 16:09:36
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-07-01 17:21 | 显示全部 短消息 资料
字号: 4楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 奇缘の随风 于 2011-7-1 17:09:00 发表
里面有2个版本都无法安装么?



我的系统是WIN7。所以我想应该是运行 Endpoint Total Defense R 1.65.12 Vista & Above Final.exe




Endpoint Total Defense R 1.65.12  Final.exe,这个应该是供XP系统用的吧?
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-07-01 19:42 | 显示全部 短消息 资料
字号: 5楼

回复: WINDOWS7 系统中,HIPS一条规则即可挡住引导区病毒TDSS TDL4



引用:
原帖由 奇缘の随风 于 2011-7-1 17:27:00 发表
我是XP WIN7 没试过
我看你WIN7 可以用 Host Security Agent System CHS 1.6 Final
理论上Endpoint Total Defense R 1.65.12  Final应该也能用。。。 



两个安装程序均不能完成安装。报错信息一样(见前图)
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT