瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)
newcenturymoon - 2008-1-5 20:47:00
最近磁碟机变种十分流行,具体分析见http://hi.baidu.com/newcenturysun/blog/item/45a9dd17ceca780dc83d6d4c.html
该病毒使用了极其卑劣的手段结束了很多安全小工具和杀毒软件,作者可谓煞费苦心研究透了几乎所有的安全软件,导致常规的手段已经无法对付它,但百密一疏,病毒终究有漏洞,我们其实用瑞星杀毒软件的主动防御技术就可以轻松搞定它。瑞星不是被结束了么?呵呵,那只是表面现象,细心的人可以发现病毒作者还是给我们“留有一定的余地的”。

需要的软件:
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng:http://download.kztechs.com/files/sreng2.zip
安装好的瑞星杀毒软件

(文中假设系统盘为C盘,如果实际情况与之不符,修改相应盘符即可)
1.瑞星的主动防御设置
此时瑞星杀毒软件监控已经被“关闭”,不用担心,我们绕开这个,直接打开瑞星安装文件夹,找到DefCfg.exe,双击运行之。此为瑞星的主动防御设置。
切换到 程序启动控制一栏 点击下面的“添加”按钮



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)


附件: 554345200815203613.jpg
newcenturymoon - 2008-1-5 20:48:00
在“浏览”左面的框中输入
C:\Windows\system32\com\lsass.exe(或者从已有进程里面找)

在之后弹出的“瑞星杀毒软件-程序启动控制-添加规则”的对话框中 点击“添加”



附件: 554345200815203700.jpg
newcenturymoon - 2008-1-5 20:49:00
在弹出的“添加程序”的对话框中 点击“启动者”旁边的“选择”按钮



附件: 554345200815203751.jpg
newcenturymoon - 2008-1-5 20:49:00
在之后弹出的“选择规则应用对象”对话框中 选择* 确定

附件: 554345200815203830.jpg
newcenturymoon - 2008-1-5 20:50:00
接下来回到“添加程序”对话框 触发动作 选择“拒绝” 规则名称随便填吧~~

附件: 554345200815203850.jpg
newcenturymoon - 2008-1-5 20:50:00
同理添加C:\Windows\system32\com\smss.exe的规则

两个都添加完毕后点击 程序启动控制下方的“应用”按钮


附件: 554345200815203920.jpg
newcenturymoon - 2008-1-5 20:51:00
重启计算机

重启之后我们发现病毒已经被碾死了。此时我们打开任务管理器 查找有无~.exe.*.exe (*代表随机字母)
如果有则右键结束该进程

好了现在我们就可以灭掉这些个家伙了!

2.打开Icesword

点击 左下角文件按钮
删除如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.*.exe(*代表随机字母)
以及各个分区下面的pagefile.pif和autorun.inf(不要忘记)




附件: 554345200815204028.jpg
newcenturymoon - 2008-1-5 20:52:00
3.打开sreng
系统修复 - Windows Shell/Ie 全选 - 修复
系统修复 - 高级修复 修复安全模式

系统修复 — 浏览器加载项
删除[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

4.最后一定用杀毒软件全盘杀毒修复被感染的exe,js,htm等文件。(如果杀毒软件暂不能认出这个病毒,请暂时不要打开非系统分区下的exe以及压缩包内的exe文件!!!)


已成过去 - 2008-1-5 21:02:00
学习了。。。确实是挺简单的一个方法哦。。。不过对于新手来说。。。不知道会不会想到这样。。。。
天月来了 - 2008-1-5 21:13:00
下次变种肯定会删了那里的DefCfg.exe
流星陨落 - 2008-1-5 21:16:00
先占楼再学习
UFO不幸外人 - 2008-1-5 21:27:00
哈哈。学习了,好想猫叔曾经写过这样的文章,只是不详细
sako - 2008-1-5 21:27:00
引用:
【天月来了的贴子】下次变种肯定会删了那里的DefCfg.exe
………………

删了那个dd。嘻嘻,找好办法继续阿
学习了。
易尔一 - 2008-1-6 10:29:00
靠 学习了
那以后别的病毒是不是也可以类似试用啊?
呵呵 像天月说那天 DefCfg.exe 也被干掉了 那瑞星不就成死猪一猪了 ..
阳光你太有才了  呵呵
两个铁球 - 2008-1-6 10:34:00
好详细的教程!

没有瑞星的话,不是任何一款HIPS都可完成事吗?

要不了多久,改进型的变种又出来了吧?

ps:毕竟瑞星还是“过了”,毕竟这还是后发置人的办法。有没有先发制人,阻挡这类病毒进来的办法?
Dsyrock - 2008-1-6 10:46:00
我想问问,看介绍似乎它关闭安全软件的进程是通过窗口标题来决定的。Icesword不是以随机数字来命名的吗?怎么也会被关闭?
另外我之前帮室友杀过这个病毒,我是用组策略来禁止它运行,重启后用icesword清除,但那时好像没有感染exe的现象啊,难道现在变种了?
shouhou - 2008-1-6 13:53:00
学习
独孤豪侠 - 2008-1-6 14:11:00
学习了..
燕山隐者 - 2008-1-6 15:39:00
下次直接清空杀软文件夹
zhongzhi - 2008-1-6 17:33:00
学习版主们灵活运用各种方法,综合使用工具,有效地灭掉病毒!
ling123456 - 2008-1-7 15:35:00
学习了。。
雅朵 - 2008-1-7 18:06:00
【回复“newcenturymoon”的帖子】
我装的网络版的瑞星,怎么瑞星安装文件夹下没有DefCfg.exe文件?
姑苏残月 - 2008-1-8 11:11:00
对与会的,只是一个比较简单的方法。
对于不会的,还是什么用都没有。
确实是后发制人。
如果不知道这些信息,那么瑞星还是没有半点用处。
日不懂啊 - 2008-1-8 11:44:00
瑞星20.26已经可以清除这个感染的文件了
sako - 2008-1-8 12:49:00
引用:
【日不懂啊的贴子】瑞星20.26已经可以清除这个感染的文件了
………………

恩,其实瑞星的主动防御可以解决很多问题。例如3721插件
偶已实验,过瘾
彩虹的祝福 - 2008-1-8 18:50:00
引用:
【天月来了的贴子】下次变种肯定会删了那里的DefCfg.exe
………………

是啊,如果他把DefCfg.exe删除了怎么办啊?
再说,名为主动防御。都中毒了,才这样去防御,那还算什么“主动”啊!
无限001 - 2008-1-8 23:34:00
支持一个,学习了。
中分 - 2008-1-10 17:57:00
这种办法都可以想的到,你太牛了.
宇智波任风 - 2008-1-10 18:41:00
【回复“天月来了”的帖子】什么东东啊?!
华南虎仔 - 2008-1-11 10:18:00
多谢!帮了大忙了!
12
查看完整版本: 利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)
© 2000 - 2026 Rising Corp. Ltd.