瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 磁碟机变种更新频繁,用户应注重系统防护。

1   1  /  1  页   跳转

磁碟机变种更新频繁,用户应注重系统防护。

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 14:47 | 显示全部 短消息 资料
字号: 1楼

磁碟机变种更新频繁,用户应注重系统防护。


http://bbs.janmeng.com/thread-717774-1-1.html
“孤独更可靠”这个帖子分析的“磁碟机变种”是新出的。
跟踪此毒已经有一段时间了,发现其更新速度非常快。
随着变种的翻新,中招后的查杀难度也逐渐加大。原先的杀毒招数基本全部失灵了。
不过,今天试验了一下瑞星2008的主动防御对抗此新变种。结果还算满意。
试验条件与结果:
1、去除先前所有的磁碟机防护设置(包括“软件限制策略”、cdm.exe、cacls.exe更名等等)。
2、如图1-图2设置好瑞星主动防御规则。
3、关闭瑞星主动防御以外的所有安全防护。
4、运行孤独所说的那个新版磁碟机。
5、重启系统。
6、重系统后删除system32\com\lsass.exe和system32\dnsq.dll以外的磁碟机病毒文件(不是特意留下这两个,而是暂时还不能删除)。
7、打开注册表编辑器,将AppIn_Dlls项编辑为空。
8、重启系统。
9、重启后删除system32\com\lsass.exe和system32\dnsq.dll。
删除的病毒文件见图3。
单分区系统磁碟机中招,至此搞掂。搞掂的一个指标:IceSword等被磁碟机废掉的工具可以运行了。更详细的证据:重启后,检查磁碟机病毒文件所在目录————再无病毒文件踪影。

以上实机操作结果说明:设置好主动防御规则,即便不慎中了这个新版磁碟机,手工处理起来,也比较省事。

图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:487
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-1 14:47:26
描述:
预览信息:EXIF信息



最后编辑2008-03-02 13:00:20
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 14:47 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:474
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-1 14:47:55
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 14:48 | 显示全部 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:501
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-1 14:48:16
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 15:45 | 显示全部 短消息 资料
字号: 4楼

引用:
【天月来了的贴子】又一次提到防

慢慢学啊
………………

瑞星最近几次更新杀软主程序,有些进步了。
单独开着主防,也能玩玩儿病毒了。即便是实机运行瑞星病毒库不包括得病毒样本,重启后,瑞星主防还能工作。
原来————磁碟机等病毒一进来,瑞星立刻变成红伞。重启后还是红伞
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-01 17:22 | 显示全部 短消息 资料
字号: 5楼

引用:
【LMhust的贴子】猫猫应该直接为论坛的朋友提供制定好的免疫病毒的规则包。这样要方便许多。

把规则导出让大家直接导入就行了。
………………

打包上传这几条规则,并不是什么难事。
但我就是不想做。
原因:
1、每个人的电脑设置不一定相同(我的系统在C盘,某人的系统非要装在D盘,规则能用?)。
2、主动防御,必须亲自动手用。否则,总是不会用或用不好。

不会设置规则?有帮助文件可以看看。看看就会。这不是什么高深的知识。

我并不是反病毒专业出身(职业:医生)。瑞星2008的主动防御,我用了也就是两个来月吧。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 11:20 | 显示全部 短消息 资料
字号: 6楼

引用:
【一直在学习的人的贴子】猫叔,经常看你发的帖子,由衷的佩服您。

针对磁碟机这个病毒,根据您之前写的相关的文章,我写了个批处理,您给看看,是否有利于我们这些菜鸟使用。
………………

如果条件允许,且有后手(万一失手后的补救措施),可以实机搞一下。看看效果。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 11:36 | 显示全部 短消息 资料
字号: 7楼

引用:
【一直在学习的人的贴子】猫叔,经常看你发的帖子,由衷的佩服您。

针对磁碟机这个病毒,根据您之前写的相关的文章,我写了个批处理(下面附件的“zip文件”),您给看看,是否有利于我们这些菜鸟使用。
………………

kd.bat————运行没问题

附件附件:

下载次数:283
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-2 11:36:23
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 11:39 | 显示全部 短消息 资料
字号: 8楼

引用:
【一直在学习的人的贴子】猫叔,经常看你发的帖子,由衷的佩服您。

针对磁碟机这个病毒,根据您之前写的相关的文章,我写了个批处理(下面附件的“zip文件”),您给看看,是否有利于我们这些菜鸟使用。
………………

想中上磁碟机,然后再试你的kd.bat。
无奈:
俺的cmd.exe和cacls.exe早就打包、加密存放了(原位置上的cmd.exe和cacls.exe被我彻底删除了)。这磁碟机中不上(图)。
懒得再折腾cmd.exe和cacls.exe解包了。

附件附件:

下载次数:258
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-2 11:39:03
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 12:10 | 显示全部 短消息 资料
字号: 9楼

引用:
【闪电风暴的贴子】麻烦猫版给个样本:kxsystem@163.com
………………

样本已经发到kxsystem@163.com
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT