扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 2007年11月3日
关键字: trojan trojan病毒 trojan.anicmoo trojan.psw trojan horse trojan.farfli
愤怒归愤怒,回到现实,新的Trojan.VB变种来临了,虽然我们在百度搜索Trojan.VB的记录不多,但是Trojan.VB的变种可以说是层出不穷,前仆后继.
那么Trojan.VB是什么?盗号木马,本身具有U盘传播和网络传播的特性,开机会启动IEXPLORE.EXE浏览器进程,并会镜像挟持在Temp缓存文件中的随机数字可执行文件作保护。
IEXPLORE.EXE、SVCH0ST.EXE会自我复制到系统的system32下,并有守护插入进程,即使在安全模式下也无法删除。
为什么我说这个病毒木马是最新的呢?因为昨天去客户那里杀毒,南京某邮局某部门全部中了这个病毒,他们的机器都不联网的,全部是U盘传播的。当时使用Autorun.exe工具清理了重启进安全模式删除,发现删除不了Trojan.VB变种,看来不是有守护进程就是有驱动启动的隐藏进程了,郁闷的该部门全部是Dell品牌机,木光驱,否则用PE系统进去了,有的人说,怎么不用Dos?根据经验这样的病毒在Dos下压根儿就查找不到。电脑使用的是趋势OfficeScan7.0,能准确的报毒,但是无法隔离,看了控制台,只有阻挡生成的功能,没有阻挡运行的功能。看来当前所有杀毒软件只有用 Mcafee企业版了,因为他们机器配置比较好,就直接安装Mcafee VirusScan Enterprise 8.0i 没有升级病毒库,因为Mcafee不需要升级病毒库也可以控制这样的病毒木马。
好了,直接说策略如何作:
打开Mcafee控制台
↓
访问保护
↓
共享资源和文件夹保护
↓
添加
↓
规则名称
阻挡病毒U盘媒体传播
要阻挡的内容
*
要阻挡的文件或文件夹
**Autorun.INF
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件
添加第2条策略
规则名称
阻挡病毒IEXPLORE.EXE创建与执行
要阻挡的内容
*
要阻挡的文件或文件夹
%windir%system32IEXPLORE.EXE
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件
添加第3条策略
规则名称
阻挡病毒SVCH0ST.EXE创建与执行(注意这里的SVCH0ST.EXE中CH后那个是零而非英文o)
要阻挡的内容
*
要阻挡的文件或文件夹
%windir%system32SVCH0ST.EXE
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件
以上策略中绿色字体为步骤,红色字体为需要输入或者钩选的内容
作完这三条策略后重启计算机,进入桌面后趋势防毒墙启动后弹出警告,发现“Trojan.VB”,趋势写的什么变种我记不得了,不过后面可以看到“隔离成功”,看来麦咖啡在没有升级的情况下和升级的趋势防毒墙双剑合璧蛮不错的 。
回到公司后把病毒样本提交到Virustotal,返回如此报告结果,大家一起参考下:
以上策略中绿色字体为步骤,红色字体为需要输入或者钩选的内容
作完这三条策略后重启计算机,进入桌面后趋势防毒墙启动后弹出警告,发现“Trojan.VB”,趋势写的什么变种我记不得了,不过后面可以看到“隔离成功”,看来麦咖啡在没有升级的情况下和升级的趋势防毒墙双剑合璧蛮不错的 。
回到公司后把病毒样本提交到Virustotal,返回如此报告结果,大家一起参考下:
可以看到连小红伞都没有反映,连Avast都无动于衷,看来该变种应该是最新的,趋势防毒墙能查到,看来还不错,当然我们的麦咖啡也没有查到,基于如此多的杀毒引擎只有几款杀毒软件能够辨别为病毒,看来是很新的病毒了,所以这里发布预警,大家先作好以上策略,防御病毒永远胜于查杀病毒。
再贴几张图,大家看看这个Trojan.VB的相貌特征和文件特征
预防该Trojan.VB变种病毒同样可以如此作策略。通过U盘传播病毒是相当可怕的,大名鼎鼎的熊猫烧香、维金都有如此传播功能,请务必加上这条策略(如果已经作了,可以不添加)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。