瑞星卡卡安全论坛
baohe - 2007-5-26 14:29:00
这类病毒,瑞星命名为worm.pabug;变种较多;新变种陆续出现中.....。
如果杀软商收集样本不够及时、全面或用户未能及时更新病毒库,系统一旦感染这类病毒,处理起来比较棘手。
病毒及其变种的详细分析报告见:
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857。
中了worm.pabug,杀软难以杀净。此外,它还从网络上下载一大堆病毒/木马到中招用户的电脑中,下载的病毒常变,其中还有插入lsass.exe进程的木马,没经验的用户中招后,即使手工杀毒,都比较困难。手工杀灭这堆病毒的过程比较复杂。手工杀毒时,中招用户和病毒之间貌似在玩儿智力游戏。当然,有点儿手工杀毒经验的用户,还是能够搞掂这堆病毒。
这里,从防护角度谈一下应对此毒的办法。
1、大多数病毒都有强迫进/线程终止、代码注入、获取系统权限、改动对象的安全设置等行为。如果用户针对病毒的这些特点采取了恰当的防护措施(无论用什么工具),一般都能将病毒入侵造成的麻烦减低到最小程度。
作为例子,下图是使用Tiny的System Privileges设置的一条相应防护规则。
附件:
1558472007526141906.jpg
baohe - 2007-5-26 14:29:00
2、有了上面那条规则,即使不幸遭遇worm.pabug.db,结果也不过如此:病毒仅在C:\Program Files\Common Files\Microsoft Shared\MSInfo文件夹释放了两个病毒文件;企图在C:\WINDOWS\Help文件夹释放另一个病毒文件的动作已被Tiny的“windows文件夹防护规则”禁止了。
图中最后一个红框显示:此毒的“代码注入”动作被System Privileges中的规则禁止了。
附件:
1558472007526141947.jpg
baohe - 2007-5-26 14:30:00
3、有了上面的防护措施,中此毒后,处理起来也很简单:结束一次explorer.exe进程,然后,动手删除这两个病毒文件,搞掂。
附件:
1558472007526142045.jpg
baohe - 2007-5-26 14:31:00
4、如果再在Tiny的Expert Rules中添加一条MSINFOR文件夹的防护规则(见图),这个worm.pabug.db就死掉了。
附件:
1558472007526142126.jpg
baohe - 2007-5-26 14:32:00
5、对MSINFOR文件夹防护后,worm.pabug.db就是个死东西。
附件:
1558472007526142159.jpg
baohe - 2007-5-26 14:32:00
上述内容仅是举例说明用Tiny防护worm.pabug.db的要点。当然,我并无号召人们都用Tiny的意思(这个工具不大容易入门)。然而,不管你用什么安全工具,只要能针对病毒的“强迫进/线程终止、代码注入、获取系统权限、改动对象的安全设置”这几点做有效的防护设置,基本就不会有什么大麻烦。重要的是:用户要自己想办法动手去做。
不要一味的指望杀软能100%保护你的安全(任何一款杀软都做不到)。
新版小欧 - 2007-5-26 14:34:00
....
还是喜欢中文~~~~
猫叔,我想了解一些病毒都会"看上"哪些系统目录呢?
天月来了 - 2007-5-26 14:42:00
不知在这求助的部分系统,在简单处理后结果怎样,都没见回的。
所以不知效果,因为没看到有删除C:\WINDOWS\Help文件夹释放的另一个病毒文件。
等以后看吧。
还是建议简单处理后重装系统,毕竟没几个会这类监控软件的。
loveperday - 2007-5-26 14:44:00
猫叔,解答下我的问题好么?关于TINY的,我给你发悄悄话了。。。谢谢
独孤豪侠 - 2007-5-26 14:46:00
学习。。。。
新版小欧 - 2007-5-26 14:49:00
正在使用中文版Tiny+SSM,中
在偶还没在卡卡注册时,都不曾晓得这两个东东.
看见猫叔用得这么上手,偶也学了学...至少现在知道这两个东东是用做什么的,这就是小进步啦
不会就学,偶脑子的东西也都是从出生后开始学来的.
baohe - 2007-5-26 14:51:00
| 引用: |
【loveperday的贴子】猫叔,解答下我的问题好么?关于TINY的,我给你发悄悄话了。。。谢谢
……………… |
已经回复你了
新版小欧 - 2007-5-26 14:52:00
.....
悄悄话....
独孤豪侠 - 2007-5-26 14:53:00
| 引用: |
【新版小欧的贴子】正在使用中文版Tiny+SSM,中
在偶还没在卡卡注册时,都不曾晓得这两个东东.
看见猫叔用得这么上手,偶也学了学...至少现在知道这两个东东是用做什么的,这就是小进步啦
不会就学,偶脑子的东西也都是从出生后开始学来的.
………………
|
中文版??哪有下的???/
天月来了 - 2007-5-26 14:55:00
呵呵!!
所有对这些有兴趣的,都想那中文的。
loveperday - 2007-5-26 15:04:00
http://www2.xxjp.org/xxjp-0418/TinyFirewallPro.rar
这个TINY是部分汉化,设置部分还是英文的。
不过和猫叔用的版本有点不同。。。
新版小欧 - 2007-5-26 15:05:00
中国人嘛,当然第一个支持的就是中文咯
可国外的软件真的有好多很经典的~~~偶也在努力努力看懂EN文中
�火影忍者 - 2007-5-26 15:17:00
| 引用: |
【独孤豪侠的贴子】
中文版??哪有下的???/
……………… |
你睡一觉...醒来之后大概会有人帮你汉化出来...
xzlx3354 - 2007-5-26 16:16:00
这个病毒autoruns改了名可以用,但是把相关的劫持去掉后,SRENG
还是不能用,改了名也不行.看进程发现被阻止了,可能是那个
病毒DLL的作用,这是怎么实现的?
还有冰刃貌似驱动被破坏了,一开就蓝屏
孤独更可靠 - 2007-5-26 16:19:00
那个病毒第一次拿到样本的时候还不会遍历生成autorun.inf````
早上看阳光分析了个``好像是第5次的更新了```
杀软的确可以杀``如果遇到的是新变种的话``那么杀软(不能识别)就挂了``
而且很难清除干净``事实上难杀就就在于此``
baohe - 2007-5-26 17:02:00
| 引用: |
【xzlx3354的贴子】
还有冰刃貌似驱动被破坏了,一开就蓝屏
……………… |
开始
运行
CMD
回车
切换到IceSword所在目录
键入IceSword.exe/c
回车
OK
你在风尘 - 2007-5-26 17:10:00
ding
东♂方♂旭 - 2007-5-26 18:17:00
学习了
hanghaigood - 2007-5-26 18:34:00
问猫叔:
开始
运行
CMD
回车
切换到IceSword所在目录
键入IceSword.exe/c
回车
OK
这个方法对其他的被映象劫持的杀软都有用吗?
电脑最怕中毒 - 2007-5-26 18:42:00
学习了。。
新版小欧 - 2007-5-26 18:48:00
偶刚刚又帮了个客户搞这个病毒~~~~
汗~~咋中滴人还挺多的...郁闷咧
gwlucker - 2007-5-26 19:00:00
学习了...
tankk - 2007-5-26 20:16:00
看到猫叔的帖子, 兴奋!! 学习!!
baohe - 2007-5-26 20:31:00
| 引用: |
【hanghaigood的贴子】问猫叔:
开始
运行
CMD
回车
切换到IceSword所在目录
键入IceSword.exe/c
回车
OK
这个方法对其他的被映象劫持的杀软都有用吗?
……………… |
没说清楚,让你误解了。
上面说的不是IFEO劫持ICESWORD的问题。说的是ICESWORD不能加载运行的问题。
解决IFEO劫持的办法:改变文件名(不是扩展名)运行。
UFO不幸外人 - 2007-5-26 21:45:00
想要病毒样本,我的瑞星不能升级了,郁闷
© 2000 - 2026 Rising Corp. Ltd.