瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)

123456   1  /  6  页   跳转

利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)

利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)

最近磁碟机变种十分流行,具体分析见http://hi.baidu.com/newcenturysun/blog/item/45a9dd17ceca780dc83d6d4c.html
该病毒使用了极其卑劣的手段结束了很多安全小工具和杀毒软件,作者可谓煞费苦心研究透了几乎所有的安全软件,导致常规的手段已经无法对付它,但百密一疏,病毒终究有漏洞,我们其实用瑞星杀毒软件的主动防御技术就可以轻松搞定它。瑞星不是被结束了么?呵呵,那只是表面现象,细心的人可以发现病毒作者还是给我们“留有一定的余地的”。

需要的软件:
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng:http://download.kztechs.com/files/sreng2.zip
安装好的瑞星杀毒软件

(文中假设系统盘为C盘,如果实际情况与之不符,修改相应盘符即可)
1.瑞星的主动防御设置
此时瑞星杀毒软件监控已经被“关闭”,不用担心,我们绕开这个,直接打开瑞星安装文件夹,找到DefCfg.exe,双击运行之。此为瑞星的主动防御设置。
切换到 程序启动控制一栏 点击下面的“添加”按钮



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

附件附件:

下载次数:2040
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:47:42
描述:
预览信息:EXIF信息



最后编辑2008-03-27 17:26:22
分享到:
gototop
 

在“浏览”左面的框中输入
C:\Windows\system32\com\lsass.exe(或者从已有进程里面找)

在之后弹出的“瑞星杀毒软件-程序启动控制-添加规则”的对话框中 点击“添加”

附件附件:

下载次数:1913
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:48:28
描述:
预览信息:EXIF信息



gototop
 

在弹出的“添加程序”的对话框中 点击“启动者”旁边的“选择”按钮

附件附件:

下载次数:1933
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:49:20
描述:
预览信息:EXIF信息



gototop
 

在之后弹出的“选择规则应用对象”对话框中 选择* 确定

附件附件:

下载次数:2090
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:49:58
描述:
预览信息:EXIF信息



gototop
 

接下来回到“添加程序”对话框 触发动作 选择“拒绝” 规则名称随便填吧~~

附件附件:

下载次数:1917
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:50:18
描述:
预览信息:EXIF信息



gototop
 

同理添加C:\Windows\system32\com\smss.exe的规则

两个都添加完毕后点击 程序启动控制下方的“应用”按钮

附件附件:

下载次数:1921
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:50:55
描述:
预览信息:EXIF信息



gototop
 

重启计算机

重启之后我们发现病毒已经被碾死了。此时我们打开任务管理器 查找有无~.exe.*.exe (*代表随机字母)
如果有则右键结束该进程

好了现在我们就可以灭掉这些个家伙了!

2.打开Icesword

点击 左下角文件按钮
删除如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.*.exe(*代表随机字母)
以及各个分区下面的pagefile.pif和autorun.inf(不要忘记)



附件附件:

下载次数:1905
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-5 20:51:56
描述:
预览信息:EXIF信息



gototop
 

3.打开sreng
系统修复 - Windows Shell/Ie 全选 - 修复
系统修复 - 高级修复 修复安全模式

系统修复 — 浏览器加载项
删除[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

4.最后一定用杀毒软件全盘杀毒修复被感染的exe,js,htm等文件。(如果杀毒软件暂不能认出这个病毒,请暂时不要打开非系统分区下的exe以及压缩包内的exe文件!!!)


gototop
 

学习了。。。确实是挺简单的一个方法哦。。。不过对于新手来说。。。不知道会不会想到这样。。。。
gototop
 

下次变种肯定会删了那里的DefCfg.exe
gototop
 
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT