1   1  /  1  页   跳转

威金蠕虫的预防

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-06 09:30 | 只看楼主 短消息 资料
字号: 1楼

威金蠕虫的预防



近来,威金蠕虫再次肆虐,新变种叠出。

对付这类病毒,最好是从预防着手。中毒后,再杀————就困难多了。

昨天收到ssuususu发来的一个威金蠕虫新样本,瑞星今天的病毒库(19.17.32)依然查不到它。

我开着Tiny的所有模块在“影子系统”环境下运行了这个样本,结果————这个威金不能感染系统。

更改我的Tiny的设置后(去掉图1、图2所示规则),同样在影子系统的保护下,再次运行此样本————感染系统成功。N多程序被其感染!!

比较两次威金样本的运行环境,证实:用Tiny预防威金,有图1、图2所示的那两条规则——足以。


以下是Tiny阻止这个威金样本uninstall.exe感染系统的部分记录(为方便阅读,我翻译了Tiny的监视记录内容):

Tiny动作:阻止
程序:uninstall.exe
访问系统:创建目录
对象:C:\windows\uninstall

Tiny动作:阻止
程序:uninstall.exe
访问系统:创建文件
对象:C:\windows\uninstall\rundl132.exe

Tiny动作:监视
程序:uninstall.exe
访问系统:创建文件
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX00.666\uninstall.exe.exe

Tiny动作:阻止
程序:uninstall.exe
访问系统:创建文件
对象:C:\windows\Logo1_.exe

Tiny动作:监视
程序:uninstall.exe
访问系统:创建文件
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\$$a68.tmp

Tiny动作:监视
程序:uninstall.exe
访问系统:创建文件
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\$$a68.bat


Tiny动作:阻止
程序:net.exe
访问系统:Starting process in own security context(以程序自身的安全设置启动进程)
对象:C:\WINDOWS\system32\net1.exe


Tiny动作:阻止
程序:uninstall.exe
访问系统:Starting process in own security context(以程序自身的安全设置启动进程)
对象:C:\WINDOWS\system32\cmd.exe

Tiny动作:阻止
程序:cmd.exe
访问系统:Starting process in own security context(以程序自身的安全设置启动进程)
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX28.979\uninstall.exe

Tiny动作:监视
程序:uninstall.exe
访问系统:Loading dll(加载动态链接库)
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\Rar$EX28.979\uninstall.exe

Tiny动作:监视
程序:uninstall.exe
访问系统:创建文件
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\uninstall20232.exe

系统信息
程序:uninstall.exe
访问系统:Process ended(进程结束)
对象:

Tiny动作:监视
程序:cmd.exe
访问系统:Delete file(删除文件)
对象:C:\Documents and Settings\baohelin\Local Settings\Temp\$$a68.bat

系统信息
程序:cmd.exe
访问系统:Process ended(进程结束)

图1

附件附件:

下载次数:243
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-6 9:30:57
描述:
预览信息:EXIF信息



最后编辑2007-08-31 17:31:53
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-06 09:31 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:235
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-6 9:31:49
描述:
预览信息:EXIF信息
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2007-08-31 13:45 | 短消息 资料
字号: 3楼

呱唧呱唧,要是全民普及tiny,98%的病毒歇菜
gototop
 
两个铁球
头像
叱咤花甲狮
  • 帖子:3107
  • 注册: 2006-01-19
  • 来自:新疆叶城
发表于: 2007-08-31 14:24 | 短消息 资料
字号: 4楼

tiny稍有设置不当,对菜鸟照成的损失,如,进不了系统,格盘等比中个蠕虫还大。

对于聊天和玩游戏为目的的个人电脑,还是不用Tiny为好。
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2007-08-31 16:40 | 短消息 资料
字号: 5楼

引用:
【两个铁球的贴子】tiny稍有设置不当,对菜鸟照成的损失,如,进不了系统,格盘等比中个蠕虫还大。

对于聊天和玩游戏为目的的个人电脑,还是不用Tiny为好。
………………

格盘不至于,进安全模式按官方方案删除就行
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-08-31 17:05 | 短消息 资料
字号: 6楼

学习了

又见猫叔贴子,高兴

`````

:D

前几天也看到了一个网友的日志

好像是auto.exe的木马群等带来的

:(
gototop
 
HOSTのS
头像
飘泊而立狮
  • 帖子:784
  • 注册: 2007-06-10
  • 来自:
发表于: 2007-08-31 17:42 | 短消息 资料
字号: 7楼

又有新变种了  估计过段时间  论坛上求助的又要多了.....
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT