瑞星卡卡安全论坛

样本名：1314.exe
来源：卡饭
卡巴斯基报：Trojan-Dropper.Win32.TDSS.apil
MD5  : da4b235fd9911417a371bbc31d9efe31
SHA1  : 3fee692aa49299e5f350ea35b1306e821498b298
SHA256: 128f9985aaf014ea50a7385009f661b631ef4fbb336ec4c0639cc1c2b2a857a2
在WINDOWS7系统中，废掉此变种的一招是——用HIPS禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作。

用CA HIPS设置规则，禁止非系统程序写入C:\Windows\system32\Tasks目录，然后运行此样本，此变种在WIN7系统完整运行后，在当前用户临时目录下释放的N个病毒文件，就死掉了。这些病毒文件可直接删除。


用WINPE U盘引导系统至PE环境，查看MBR及硬盘尾部诸扇区————均正常。
由于有上述CA HIPS那条规则保护，在WINDOWS环境中运行此毒后，用DISKPART命令可查看硬盘（在中此毒的系统中执行DISKPART命令系统即刻崩溃重启）。



用户系统信息：Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

禁止非系统程序对C:\Windows\system32\Tasks目录的写入操作

对很多人来说，很难了。

:kaka6:

这就是CA HIPS对程序实行分组管理的好处。:kaka12:

占位好好的研读一下

还不会用hips:kaka4:

。。。我禁止所有的程序 对tasks操作
开始启动菜单也禁止
FD禁写入 AD禁运 双重防护

附件: 2011-07-01_113141.jpg

猫叔 可以试试 Endpoint Total Defense R rc  http://www.uudisc.com/user/tearstain/file/4082833
CA产品中提取的 hips 版本
明媚汉化、修正  比你手上的新。
你手上的也是明媚汉化的！

WIN7 SP1 系统。



卸载旧版CA HIPS。重启。


然后运行你提供的 那个 Endpoint Total Defense R 1.65.12 Vista & Above Final.exe


报错。


无法安装。


















C:\Windows\System32\FDInstall.log内容如下：



--------------------------------------------------------------------------------
Installing firewall driver from "C:\Program Files\CA\SharedComponents\HIPSEngine\Install" ...
--------------------------------------------------------------------------------
CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

INetCfg::FindComponent returns 0x00000001

INetCfg::FindComponent returns 0x00000001

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

PrepVista(CA certificate) returns S_OK

PrepVista(Verisign certificate) returns S_OK

CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

_wsplitpath_s returns S_OK

SetupCopyOEMInfW("C:\Program Files\CA\SharedComponents\HIPSEngine\Install\KmxFilter.inf", "C:\Program Files\CA\SharedComponents\HIPSEngine\Install\", 1)

SetupCopyOEMInfW returns 0x80070002

HrInstallNetComponent returns 0x80070002

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

InstallSpecifiedComponent returns 0x80070002


--------------------------------------------------------------------------------
Installing firewall driver from "C:\Program Files\CA\SharedComponents\HIPSEngine\Install" ...
--------------------------------------------------------------------------------
CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

INetCfg::FindComponent returns 0x00000001

INetCfg::FindComponent returns 0x00000001

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

PrepVista(CA certificate) returns S_OK

PrepVista(Verisign certificate) returns S_OK

CoInitialize returns S_OK

CoCreateInstance returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::AcquireWriteLock returns S_OK

INetCfg::Initialize returns S_OK

INetCfg::AddRef returns 0x00000004

IUnknown::Release(pNetCfgLock) returns 0x00000003

IUnknown::Release(pNetCfg) returns 0x00000002

HrGetINetCfg returns S_OK

_wsplitpath_s returns S_OK

SetupCopyOEMInfW("C:\Program Files\CA\SharedComponents\HIPSEngine\Install\KmxFilter.inf", "C:\Program Files\CA\SharedComponents\HIPSEngine\Install\", 1)

SetupCopyOEMInfW returns 0x80070002

HrInstallNetComponent returns 0x80070002

INetCfg::Uninitialize returns S_OK

INetCfg::QueryInterface(IID_INetCfgLock) returns S_OK

INetCfgLock::ReleaseWriteLock returns S_OK

IUnknown::Release(pNetCfgLock) returns 0x00000001

IUnknown::Release(pNetCfg) returns S_OK

CoUninitialize returns S_OK

HrReleaseINetCfg returns S_OK

InstallSpecifiedComponent returns 0x80070002

里面有2个版本都无法安装么？

我的系统是WIN7。所以我想应该是运行 Endpoint Total Defense R 1.65.12 Vista & Above Final.exe




Endpoint Total Defense R 1.65.12  Final.exe，这个应该是供XP系统用的吧？

试试看，也许可以用。
这个版本图标比较帅!

我是XP WIN7 没试过
我看你WIN7 可以用 Host Security Agent System CHS 1.6 Final
理论上Endpoint Total Defense R 1.65.12  Final应该也能用。。。:kaka12:

两个安装程序均不能完成安装。报错信息一样（见前图）

。。。。我已经给她报告了  看她怎么说
有更新的话  我再发上来

猫叔 你用CA  怎么用规则弥补没有写底层磁盘  写物理内存等防护的缺陷呢？
CA的 监控API hook能监控到么？  还是DLL策略？

猫叔，那个目录是个什么目录，像是任务管理器？