瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:gz88235654@126.com——你那个样本不是爱情后门

12   1  /  2  页   跳转

致:gz88235654@126.com——你那个样本不是爱情后门

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 19:39 | 只看楼主 短消息 资料
字号: 1楼

致:gz88235654@126.com——你那个样本不是爱情后门

收到你的样本WinZip_tmp.exe。卡巴斯基报E-mail.Worm.Win32.Nyxem.e,是蠕虫;而不是后门。查杀流程如下
1、删除病毒文件:
见附图。
2、清理注册表:
展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"ScanRegistry"="scanregw.exe /scan"

3、重新安装杀毒软件(这个蠕虫删除大多数杀软的文件,导致杀软不能运行)。

附件附件:

下载次数:258
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 19:39:32
描述:
预览信息:EXIF信息



最后编辑2006-01-24 22:04:52
分享到:
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-01-24 20:05 | 短消息 资料
字号: 2楼

看来这个病毒花招不是很多
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2006-01-24 21:00 | 短消息 资料
字号: 3楼

Nyxem.e

一个恶意蠕虫,千万小心,不然会对用户造成不顾估量的损失,详情看置顶的版主本月安全提示我今天更新的内容。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:14 | 只看楼主 短消息 资料
字号: 4楼

引用:
【天天泡泡的贴子】Nyxem.e

一个恶意蠕虫,千万小心,不然会对用户造成不顾估量的损失,详情看置顶的版主本月安全提示我今天更新的内容。
...........................


有TPF的DIY规则保护,我只损失了卡巴的kavsvc。
这只蠕虫一开始就疯狂删除多个杀软的注册表项。蠕虫运行/释放文件/添加启动项后,开始删除C盘文件。被TPF阻止后——死机。重启系统后,蠕虫被SSM发现并阻止。
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2006-01-24 21:19 | 短消息 资料
字号: 5楼

【回复“baohe”的帖子】
把你自定义的规则共享一下好不?我的还是默认的呢
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:32 | 只看楼主 短消息 资料
字号: 6楼

引用:
【天天泡泡的贴子】【回复“baohe”的帖子】
把你自定义的规则共享一下好不?我的还是默认的呢
...........................


DIY 规则,不是不愿共享,而是不敢随便与人共享。这些DIY规则,都我自己是针对特定问题设立的。有时,会影响其它应用。怎么处理,只有DIY者自己明白。
比如下图的DIY规则,就是禁止任何程序删除%WINDOWS%及其子目录中的任何文件。加了这条规则,以后删除病毒文件时,必须暂时禁用TPF的WINDOWS SECURITY。 否则,你根本不能删除%WINDOWS%及其子目录中的病毒文件。

附件附件:

下载次数:245
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 21:32:55
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:35 | 只看楼主 短消息 资料
字号: 7楼

设好那条规则后,在Access to Files and Folers面板看到的是——

附件附件:

下载次数:260
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 21:35:15
描述:
预览信息:EXIF信息
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2006-01-24 21:39 | 短消息 资料
字号: 8楼

其实DIY规则我大致能看明白,真要自己动手编制规则还需要时间。

关于IDS/IPS那部分,有什么特别的规则需要提醒注意添加的吗?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 21:41 | 只看楼主 短消息 资料
字号: 9楼

【回复“天天泡泡”的帖子】
IDS/IPS部分——只能用现成的,不能更改。TPF升级时,有可能更新这部分内容(SNORT)。
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2006-01-24 21:44 | 短消息 资料
字号: 10楼

引用:
【baohe的贴子】【回复“天天泡泡”的帖子】
IDS/IPS部分——只能用现成的,不能更改。TPF升级时,有可能更新这部分内容(SNORT)。
...........................

需不需要将那部分规则全部启用?
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT