RingXing小狮子 - 2009-4-30 17:07:00
今天我们来学习一下后门病毒防范方法。先来看后门病毒的病毒特征:通常后门病毒运行后会释放一个文件,并将其注册为系统服务,修改注册表,然后随一个进程启动而启动,例如IE。最终实现连接网络,远程控制,下载病毒,像灰鸽子这样的后门病毒就具有以上现象。针对这些行为我们应该如何建立“防御行为规则”呢?感谢瑞星安全工程师/王占涛为我们提供如何使用木马行为编辑器,对于我们普通用户相当实用,我是一个瑞星忠实用户,在看到此篇在CFAN的4月15日上发表的文章就自己动手试试,感觉真的好有成就感,自己也能编写木马防御。瑞星你对用户如此平易近人,相信你会越来越好,不多说了开始我们开始木马行为编译
规则一:监控包含特殊进程的文件释放
目的:防范后门病毒释放文件,启动服务,通过IE连接网络
第一步:运行“木马行为规则编辑器" ,单击左下方的“添加”,建立新规则。病毒记录默认为“中”,作者可以填写自己的名字,网名等,附加信息相当于注释,可以自己填写.(为方便大家我已经自己编辑,大家可以下载)
第二步:单击病毒特征后面的"指定”,在弹出的对话框中选择“强自复制"和“释放服务程序”单击“确定”。
第三步:单击下方的“添加API”,在“监控对象”中选择“创建进程”,监控规则中分别选择“文件名,不包括路径”,“包含”和iexplore,最后单击“添加”。
小提示:这条规则含义就是当具有病毒复制自身,并启动一条服务,且启动一个进程,该进程的文件名又包含iexplore时就报警。
规则二:防止病毒文件下载
目的:针对后门病毒下载病毒到本机的特征制定规则
第一步:按照相同的方法,运行“木马行为规则编辑器→添加→建立规则”。病毒记录名称设定为“后门病毒下载者”,敏感级别“中”,填写作者和注释(规则我也编辑了,大家可以下载)
第二步:单击下方的“添加文件→监控操作”,选择“新建文件”,监控规则选择“目录名”、“包含”和temp(因为后门下载者通常是将网上的病毒下载到系统的temp文件夹后运行。),单击“添加”。继续选择“监控规则”为“主文件类型”、“数值等于”和2.依次单击“添加→确定”。
第三步:单击下方的“添加API”,监控对象选择“创建进程”,监控规则选择“目录名”、“包含”和temp,单击“添加”,监控规则选择“主文件名类型”、“数值等于”和2,单击“添加→确定”。这样,两条比较完整的规则就诞生了。
作者;瑞星安全工程师/王占涛
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
规则一:监控包含特殊进程的文件释放
目的:防范后门病毒释放文件,启动服务,通过IE连接网络
第一步:运行“木马行为规则编辑器" ,单击左下方的“添加”,建立新规则。病毒记录默认为“中”,作者可以填写自己的名字,网名等,附加信息相当于注释,可以自己填写.(为方便大家我已经自己编辑,大家可以下载)
附件: ruixing后门病毒防范.rar (2009-4-30 17:07:12, 602 B)
该附件被下载次数 304
第二步:单击病毒特征后面的"指定”,在弹出的对话框中选择“强自复制"和“释放服务程序”单击“确定”。
第三步:单击下方的“添加API”,在“监控对象”中选择“创建进程”,监控规则中分别选择“文件名,不包括路径”,“包含”和iexplore,最后单击“添加”。
小提示:这条规则含义就是当具有病毒复制自身,并启动一条服务,且启动一个进程,该进程的文件名又包含iexplore时就报警。
规则二:防止病毒文件下载
目的:针对后门病毒下载病毒到本机的特征制定规则
第一步:按照相同的方法,运行“木马行为规则编辑器→添加→建立规则”。病毒记录名称设定为“后门病毒下载者”,敏感级别“中”,填写作者和注释(规则我也编辑了,大家可以下载)
附件: ruixing后门病毒文件防范.rar (2009-4-30 17:07:12, 652 B)
该附件被下载次数 319
第二步:单击下方的“添加文件→监控操作”,选择“新建文件”,监控规则选择“目录名”、“包含”和temp(因为后门下载者通常是将网上的病毒下载到系统的temp文件夹后运行。),单击“添加”。继续选择“监控规则”为“主文件类型”、“数值等于”和2.依次单击“添加→确定”。
第三步:单击下方的“添加API”,监控对象选择“创建进程”,监控规则选择“目录名”、“包含”和temp,单击“添加”,监控规则选择“主文件名类型”、“数值等于”和2,单击“添加→确定”。这样,两条比较完整的规则就诞生了。
作者;瑞星安全工程师/王占涛
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)