瑞星卡卡安全论坛

http://bbs.ikaka.com/showtopic-8594052-1.aspx
这个帖子提到的那个木马ms.exe的自定义行为防御规则很简单：



效果：

效果：



用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

这个木马有个特点：只植入系统一次。
如果植入失败，无论你再运行样本多少次，木马不再植入系统。
貌似很“君子”（玩儿不过你，咱就不跟你玩儿了！）

谢谢猫叔－－

不知道样本会不会更新

释放DLL就报警 这规则太粗了吧  我发那帖是想要在细一点的规则 例如根据他会修改的那个注册表服务项(不过经过本人长时间努力似乎不太可能,因为除了释放DLL其他的动作都是用services完成的)  看来猫叔也只能做到这个程度  不过还是感谢猫叔这么卖力:default6: (毕竟连moon都搞不出来规则,它已经承认编辑器漏了这方面了)

貌似应该是那个ini的配制文件在那里如果服务第一次没加载成功他就不运行了  把那个ini删了再运行它又来了  本人为了测试此病毒的没个动作运行了N次  所以比较了解了:default6:

这个就是 普通的PcClient病毒 变种很多 天天都有  我没说过 我搞不出规则～～

释放DLL就报警太粗了，很多程序后台升级都会报的。我有一个巧妙的办法，绝对不会有任何误报。这类木马群病毒不是在每个程序目录都创建USP10.DLL吗？就利用这点，不管它创建USP10还是其他什么DLL。你可以在非系统盘如D盘创建一个目录命名为ABC或者其他任意名字，在里面复制一个程序文件，任意程序如记事本。用木马行为编辑器，编辑规则，文件规则，任意操作，目录名字符串是D:\abc.主文件类型数值等于2就可以了。这个病毒会在所有的程序目录下创建DLL文件，就必然也会在D:\abc目录创建DLL文件，从而触发规则报警。而这个目录是你自编的，不会有任何程序在这个目录操作文件，所以不会有任何误报，但是却可以报木马群和蠕虫病毒。

楼上的  错了  这个说的不是 usp10.dll 是那个Backdoor.Win32.PCClient

moon 编个漂亮的规则搞死这病毒(不要又是释放DLL就报毒的那种啊)

1、这个帖子没谈usp10.dll的防御问题。
2、设想与现实是有差距的。使用瑞星2009的这个木马行为防御编辑器实现具体设想时尤其如此。你应该给出实际例子（哪怕是一个例子）证实你的设想成立。

病毒运行后在c:\windows\system32生成ykzkjy.dll和key文件还有一个1字节的信息配置文件就可以指定详细位置来防御病毒，在行为防御规则上增加了监视该文件夹下生成此文件的动作，关闭了文件监控运行病毒，病毒还真没增加文件和注入注册表，各位可以试试，如果不行我在试试其他方法（虽然现在已经能查杀此病毒了哦）

貌似刚才最后回复的那个帖子 点引用的时候 不小心给删除咯 ~:default3:

删我帖:default3:    老moon你..........      我是要叫你编个规则出来搞这病毒 我编不出

刚问了 类似这样的病毒 目前通过API拦截确实拦截不到
主要是因为 services.exe启动的svchost.exe
服务也是以dll做服务的
这个问题 节后会升级解决

你这么说 木马行为拦截的库是会升级的了?

一直在升级 解决问题~~

发现运行该病毒生成的文件名是随机的，gjjorm.dll，郁闷，上传附件

附件: SREngLOG.log

================================
服务
[ovtjkk / ovtjkk][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k ovtjkk-->%SystemRoot%\System32\gjjorm.dll><N/A>

病毒驱动被成功安装。
==============================
正在运行的进程
[PID: 1364 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 2372 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 684 / Administrator][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 1968 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 836 / Administrator][D:\Program Files\China Mobile\Fetion\VmDotNet\v2.0.50727\FetionVM.exe]  [China Mobile, 1.0.0.0]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 2624 / Administrator][D:\Program Files\TheWorld 2.0\TheWorld.exe]  [Phoenix Studio, 2, 4, 0, 2]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 2280 / Administrator][D:\Program Files\Tencent\QQ\QQ.exe]  [TENCENT, 8,0,1300,1881]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]

病毒DLL文件成功插入系统核心进程（WINLOGON.EXE、SVCHOST.EXE）、系统正常进程以及一些应用程序的进程。
=============================