瑞星卡卡安全论坛

近来，这类带IFEO劫持的病毒已有成灾之势。中招后，杀软、防火墙等安全软件均不能运行，安全模式被破坏；SRENG不能运行（无法扫日志求助）；IceSword等常用手工杀毒工具也不能运行；系统日期被更改；据说打开IE用百度搜索含“杀毒”、“瑞星”等关键字的资料时，IE都会被关闭。真是令人抓狂！

已经观察过几个变种，伎俩大同小异。如果用户有Tiny这样的4D防护（AD、FD、RD、ID）工具并设置到位，基本不会中这类病毒。

退一步说，即使没有4D防护工具，只要用户把住注册表写入这关，即使中了这类病毒，也不至于陷于“焦头烂额、无从下手”的地步。不但安全软件不能被病毒整垮，SRENG、ICESWORD等工具也能正常运行。

为了证明这一说法，我特意取消了Tiny中“程序防护、文件防护”（AD、FD）相应规则（鉴于WINDOWS文件夹属于重点保护对象，此文件夹的防护规则未取消），注册表防护（RD）原有规则不动，并加入以下两条规则：

1、禁止写入/删除TINY和瑞星的服务项、驱动项；
2、禁止创建/写入IFEO项。

取消TINY的“系统权限/代码注入/对象安全性改变防护”（否则病毒无法运行），但用禁止关闭进程，禁止强迫关机。最后，实机运行worm.pabug.db。

以下是病毒运行后的实际记录

图1：病毒的一个文件释放被阻止（红框；因为WINDOWS文件夹的防护未取消）；病毒模块插入了应用程序进程（蓝框）；病毒试图终止瑞星进程的动作被阻止（绿框；TINY的“禁止强迫进程终止”规则生效）；病毒.exe程序自身结束运行（黑框）；病毒模块试图关闭应用程序进程被阻止（粉框）。

病毒试图写入IFEO劫持项被阻止（黄色高亮部分）。

附件: 155847200767162346.jpg

图2：病毒试图更改杀软、防火墙的服务项被阻止。

附件: 155847200767162540.jpg

图3：病毒试图删除防火墙加载项以及系统安全模式的动作被阻止。


附件: 155847200767162633.jpg

图4：病毒试图删除瑞星、TINY的启动加载项被阻止，病毒反复写入自己的启动项以及“自动播放”键值等动作被阻止，只有反复创建D盘的病毒文件被放行（因为取消了TINY对D盘文件的防护规则）。

附件: 155847200767162739.jpg

运行IceSword，强制删除C:\Program Files\Common Files\Microsoft Shared\MSInfo文件夹中的随机8位数病毒文件；删除D盘根目录下的病毒文件（图5）。搞掂！杀软、防火墙运行正常；安全模式完好。

需要特别强调的是：TINY的“禁止强迫进程终止”这条规则是本次试验的一个防护关键点（不知道其它安全软件是否有此功能）。如果没有这条规则发挥作用，系统控制权很可能落入病毒之手，TINY的其它的N条防护规则，恐怕都是“纸上谈兵”了。

结论：
1、预防IFEO劫持类病毒，注册表的防护设置是个重点，用户应尽量做好这部分设置。
2、安全软件的进程的自身保护/协防（不被任何程序终止/劫持）是系统安全的关键。


附件: 155847200767162820.jpg

学习了```

老大,昨晚又收到个样本,7位随机数字的

8位随机数的变种,有兴趣看看么?

引用:

【孤独更可靠的贴子】学习了``` 老大,昨晚又收到个样本,7位随机数字的 8位随机数的变种,有兴趣看看么? ………………

发来看看（baohelin@yahoo.com.cn）。
谢谢！

引用:

【baohe的贴子】 发来看看（baohelin@yahoo.com.cn）。 谢谢！ ………………

好,呵呵

释放文件的位置发生了变化,这次用的是进程守护``
`
下了很多很多的木马的``

http://free.ys168.com/?gudugengkekao1

不发邮箱了,有点卡``

这里下吧,在网盘里了``

引用:

【孤独更可靠的贴子】 好,呵呵 释放文件的位置发生了变化,这次用的是进程守护`` ` 下了很多很多的木马的`` ………………

先用TINY的“全”设置看看。
如果它不行，再让它一步、两步.....N步。

对付这种最方便的方法就是来个以毒攻毒，先IFEO劫持掉病毒文件，重启后收尸。

引用:

【孤独更可靠的贴子】http://free.ys168.com/?gudugengkekao1 不发邮箱了,有点卡`` 这里下吧,在网盘里了`` ………………

在哪里啊？老大！
那两个目录————都不让动。

附件: 155847200767165350.jpg

引用:

【baohe的贴子】 在哪里啊？老大！ 那两个目录————都不让动。 ………………

其他工具-

autorun-yeyinhi.rar 68KB

瑞星今天的版本，才刚刚能杀。

三天前的还不行呢。

引用:

【孤独更可靠的贴子】 其他工具- autorun-yeyinhi.rar 68KB ………………

TINY的“全”设置，它还是玩儿不过。

附件: 155847200767172138.jpg

结束那两个进程后，病毒文件直接就被删除了。

附件: 155847200767172247.jpg

这东东朝瑞星的“开机扫描”下手（bak了bsmain.exe）。

附件: 155847200767172357.jpg

下了好大一推木马的``

这东东朝瑞星的“开机扫描”下手————bak了system32文件夹中的bsmain.exe。

引用:

【baohe的贴子】这东东朝瑞星的“开机扫描”下手————bak了system32文件夹中的bsmain.exe。 ………………

这个倒是新招，虽然不是很有新意。看来是比较聪明了，知道IFEO也对付不了开机扫描。

引用:

【孤独更可靠的贴子】下了好大一推木马的`` ………………

下载啥呢？
它的进程被终止了，文件也被删了。
有了Tiny这个屏障，它的速度就像老牛车了。

看来还得让着它点儿。

晚上再接着玩儿。

吃饭！！

BOAHE版主的技术确实厉害。
不过菜鸟们在设置TINY时还是当心点好。前天偶仿照猫版说的对系统文件的访问特权进行设置，结果既无法关机也没法开机。开机启动永远停留在“在加载个人配置中...”，要想再改动或删除TINY也不行，连安全模式下用冰刀也不行；更找不到任何TINY的卸载之处！整整花了我一天半时间才搞定，几乎重装了系统.....

引用:

【孤独更可靠的贴子】 好,呵呵 释放文件的位置发生了变化,这次用的是进程守护`` ` 下了很多很多的木马的`` ………………

它还是不行。
http://forum.ikaka.com/topic.asp?board=28&artid=8320680