瑞星卡卡安全论坛

自从这个蠕虫流行以来，因染此毒而重装系统的用户不在少数。因为这个蠕虫感染硬盘各分区的所有可执行文件.exe。
说到这种“头寄生”蠕虫，确实比较麻烦。它在被感染对象.exe的头部写入蠕虫代码。你要杀毒吗？那好——连这个被感染的.exe一齐删除吧。
一般应用程序的.exe，删了也就删了，再重新安装一下，也费不了多大劲。但是，系统的.exe被感染后，那就糟糕了。要么，你找个WINHEX之类的工具，逐一清除被感染文件头部的病毒代码（这不是一般用户能做到的），要么格盘重装系统。当然，如果你有系统GHOST备份，问题相对简单些：找个干净的GHOST.EXE文件，启动到DOS下，替换掉被病毒感染的GHOST.EXE。然后，运行GHOST.EXE，用原来的GHO备份恢复系统即可（系统分区以外的被感染的.exe恐怕只有删除）。
然而，只要你有一个带文件保护的安全工具，且熟悉其设置及应用，“威金”蠕虫便成了一条“死虫”。
以下是我用Tiny（一个带文件保护的防火墙）预防“威金”蠕虫的实战结果：
具体环境是：IBM A31本本；系统是XP；只有C、D两个硬盘分区。2006年来的所有补丁都没打。事先关闭系统中的卡巴斯基、SSM等安全软件（否则无法运行病毒样本）。
接下来，按图1、图2设置好Tiny的“文件保护”，禁止任何程序在C、D分区创建、写入或删除文件。
然后，运行“威金”蠕虫Logo_1.exe。用Tiny的Activity Monitor观察蠕虫的实际感染情况（图3）——所有感染步骤均被阻断！
打开SSM，看看Logo_1.exe的运行状态：它只能在当前用户的临时文件夹中运行（图4）。
再查看%windwos%文件夹，c:\windows\下并无Logo_1.exe和rundl132.exe（其创建过程被Tiny阻截了）。

图1

附件: 1558472006723152635.jpg

图2

附件: 1558472006723152658.jpg

图3

附件: 1558472006723152722.jpg

图4

附件: 1558472006723152745.jpg

看看autoruns的日志——干净的！


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ KAVPersonal50    Kaspersky Anti-Virus GUI Part    Kaspersky Lab    c:\program files\kaspersky lab\kaspersky anti-virus personal pro\kav.exe

+ TP4EX    IBM TrackPoint Accessibility Features    IBM Corporation    c:\windows\system32\tp4ex.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run           

+ AMonitor    eTrust Activity Monitor    Computer Associates International, Inc.    c:\program files\tiny firewall pro\amon.exe

+ IDMan    Internet Download Manager Application (IDM)    Internet Download Manager Corp., Tonec Inc.     c:\program files\internet download manager\idman.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ Adobe.Acrobat.ContextMenu    Adobe Acrobat Elements    Adobe Systems Inc.    c:\program files\adobe\acrobat 6.0\acrobat elements\contextmenu.dll

+ TuneUp 碎纸机    TuneUp Shredder Shell Extension    TuneUp Software GmbH    c:\program files\tuneup utilities 2006\sdshelex.dll

+ WinRAR shell extension            c:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects           

+ AcroIEHlprObj Class    Adobe Acrobat IE Helper Version 6.0 for ActivieX    Adobe Systems Incorporated    c:\program files\adobe\acrobat 6.0\acrobat\activex\acroiehelper.dll

+ AcroIEToolbarHelper Class            c:\program files\adobe\acrobat 6.0\acrobat\acroiefavclient.dll

+ IDMIEHlprObj Class    IDMIECC Module    Internet Download Manager Corp., Tonec Inc.    c:\program files\internet download manager\idmiecc.dll

HKLM\System\CurrentControlSet\Services           

+ Ati HotKey Poller            c:\windows\system32\ati2evxx.exe

+ kavsvc    Kaspersky Anti-Virus Service    Kaspersky Lab    c:\program files\kaspersky lab\kaspersky anti-virus personal pro\kavsvc.exe

+ QCONSVC            c:\windows\system32\qconsvc.exe

+ UmxAgent    eTrust Event Manager    Computer Associates International, Inc.    c:\program files\tiny firewall pro\umxagent.exe

+ UmxCfg    eTrust Configuration Engine    Computer Associates International, Inc.    c:\program files\common files\pfshared\umxcfg.exe

+ UmxFwHlp    eTrust Firewall User-Mode Helper    Computer Associates International, Inc.    c:\program files\tiny firewall pro\umxfwhlp.exe

+ UmxLU    Live Update Monitor    Tiny Software, Inc.    c:\program files\common files\pfshared\umxlu.exe

+ UmxPol    eTrust FW Policy Manager Service    Computer Associates International, Inc.    c:\program files\common files\pfshared\umxpol.exe

HKLM\System\CurrentControlSet\Services           

+ AgereSoftModem    SoftModem Device Driver    Agere Systems    c:\windows\system32\drivers\agrsm.sys

+ ati2mtag    ATI RAGE 6 Miniport Driver    ATI Technologies Inc.    c:\windows\system32\drivers\ati2mtag.sys

+ E100B    NDIS 5 driver    Intel Corporation    c:\windows\system32\drivers\e100b325.sys

+ EGATHDRV            c:\windows\system32\egathdrv.sys

+ IBMPMDRV    IBM ThinkPad Power Management Driver    IBM Corp.    c:\windows\system32\drivers\ibmpmdrv.sys

+ IBMTPCHK            c:\windows\system32\drivers\ibmbldid.sys

+ Kl1    Kaspersky Anti-Hacker Only Driver    Kaspersky Lab    c:\windows\system32\drivers\kl1.sys

+ Klif    spuper-ptor    Kaspersky Labs    c:\windows\system32\drivers\klif.sys

+ Klmc    Kaspersky Anti-Virus Mail Checker Proxy    Kaspersky Lab    c:\windows\system32\drivers\klmc.sys

+ KmxAgent    eTrust Agent driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxagent.sys

+ KmxBiG    eTrust Integrity Guard driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxbig.sys

+ KmxCfg    KMX - Configuration Cache    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxcfg.sys

+ KmxFile    eTrust File Guard driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxfile.sys

+ KmxFw    eTrust firewall security engine    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxfw.sys

+ KmxIds    TPF: IDS engine plug-in    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxids.sys

+ KmxNdis    eTrust NDIS filter    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxndis.sys

+ KmxSbx    eTrust Registry, Spawning and Devices Guard driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxsbx.sys

+ NSCIRDA    NSC Fast Infrared Driver.    National Semiconductor Corporation    c:\windows\system32\drivers\nscirda.sys

+ Ptilink    Direct Parallel Link Driver    Parallel Technologies, Inc.    c:\windows\system32\drivers\ptilink.sys

+ safemon    System Safety Monitor 2.0 extension for Windows security layer    System Safety Limited    c:\windows\system32\drivers\safemon.sys

+ smwdm    SoundMAX Integrated Digital Audio     Analog Devices, Inc.    c:\windows\system32\drivers\smwdm.sys

+ Tp4Track    IBM PS/2 TrackPoint Mouse Filter Driver    IBM Corporation    c:\windows\system32\drivers\tp4track.sys

+ TPPWR    IBM ThinkPad Power Management Device Driver    IBM Corp.    c:\windows\system32\drivers\tppwr.sys

+ TSP    spuper-ptor    Kaspersky Labs    c:\windows\system32\drivers\klif.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls           

+ UmxSbxExw.dll    User mode executive module helper DLL    Computer Associates International, Inc.    c:\windows\system32\umxsbxexw.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify           

+ PFW    UmxWNP    Computer Associates International, Inc.    c:\windows\system32\umxwnp.dll

+ System Safety Monitor    System Safety Winlogon Notification    System Safety Limited    c:\windows\system32\ssmwinlogonex.dll

HKCU\Control Panel\Desktop\Scrnsave.exe           

+ C:\WINDOWS\System32\AMCRYS~1.SCR    Aquarium    SereneScreen    c:\windows\system32\amcrystal-thefish.scr

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors           

+ Adobe PDF Port    Acrobat ? PDF Port    Adobe Systems Incorporated.    c:\windows\system32\adobepdf.dll

这个实验结果提示：熟悉一个安全工具，并可根据实际情况灵活运用，即使遇到像“威金”这样比较BT的蠕虫，你也可从容应对。

可能有人会问：
这样设置Tiny，你自己要安装程序或删除文件时怎么办？
简单：只要按下图操作，临时取消Tiny的windows security即可。装（删）完了，再勾选Tiny的windows security，防护即刻生效。

附件: 1558472006723154359.jpg

哪有下载？？？
猫叔说的工具是防火墙呀。。收费不？


呵呵。猫叔的工具真多。

引用:

【独孤豪侠的贴子】哪有下载？？？ 呵呵。猫叔的工具真多。 ...........................

我的tiny是2005年初安装的。下载地址已经忘记了。
记得有人在“12公里安全咨询 » 安全软件注册交流下载区”发过Tiny，你可以去找找。
http://www.12km.com/forumdisplay.php?fid=4&page=1

提醒：使用时要小心。需要紧急卸载Tiny时，可以到卡卡的“安全软件讨论区”搜索我发的帖子。

看不懂~~~~

噢。我是不须要。
估计以后会有人要。所以先问好。呵呵。。。

收藏先。

谢谢猫叔。/。。

猫叔 我看不懂  能不能简单点啊？

这防火墙确实不错...

偷来用用...

引用:

【HAMY的贴子】猫叔 我看不懂  能不能简单点啊？ ...........................

看不懂？
这是人与病毒交战的“写真”啊。应该能懂。
如果确实看不明白，可能是：
1、语言问题（不熟悉英文）；
2、不熟悉系统。系统知识——要慢慢补习。

猫叔说的真对，我第2个最最有问题了，嘿嘿~~

坐下来慢慢学习

啊？？不会吧？

看8懂- -

.........不知道是否能用

如果SSM也有这功能就好了

由于威金没有破坏文件,因此可以用SSM禁止它的运行.用杀毒软件查杀

猫叔的东东，一概收藏

我的方法是在启动项里加入.bat批处理命令.启动就自搜索删除logo_1.exe.
这个方法确实可行.
在一台机子上做测试.一进入系统就自动出现一行DOS命令,提示logo_1.exe发现.自行删除.然后再查找就没有了.
有猫叔在想不进步都难.

Tiny的这个功能确实很强大，但是要熟练运用不是简单的事情，我就因为设置错过一步而进不了系统，只好紧急卸载，一切重来。

新手慎用，这个自定义规则设置很容易让你进不了系统。

多谢版主提示.学习中.

猫叔写的不错，如果我用了SSM它应该也创建不了了，是吧！

tiny在霏凡有下载。tiny很强大，但设置有点复杂，又是英文的，上手比较困难。

baohe写贴子:-)

把QQ交出来加技术交流群

tiny有点象军用品  设置复杂

引用:

【艾玛的贴子】baohe写贴子:-) 把QQ交出来加技术交流群 ...........................