科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Trojan.VB来袭 提防可疑文件

Trojan.VB来袭 提防可疑文件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

愤怒归愤怒,回到现实,新的Trojan.VB变种来临了,虽然我们在百度搜索Trojan.VB的记录不多,但是Trojan.VB的变种可以说是层出不穷,前仆后继.

作者:论坛整理 2007年11月3日

关键字: trojan trojan病毒 trojan.anicmoo trojan.psw trojan horse trojan.farfli

  • 评论
  • 分享微博
  • 分享邮件
相信部分网民还在维金(威金、Viking)、熊猫烧香的困扰中悲愤的挣扎,恨不能把熊猫烧香的作者掐死,掐死了再用口水淹死. 

  愤怒归愤怒,回到现实,新的Trojan.VB变种来临了,虽然我们在百度搜索Trojan.VB的记录不多,但是Trojan.VB的变种可以说是层出不穷,前仆后继.

  那么Trojan.VB是什么?盗号木马,本身具有U盘传播和网络传播的特性,开机会启动IEXPLORE.EXE浏览器进程,并会镜像挟持在Temp缓存文件中的随机数字可执行文件作保护。
IEXPLORE.EXE、SVCH0ST.EXE会自我复制到系统的system32下,并有守护插入进程,即使在安全模式下也无法删除。

  为什么我说这个病毒木马是最新的呢?因为昨天去客户那里杀毒,南京某邮局某部门全部中了这个病毒,他们的机器都不联网的,全部是U盘传播的。当时使用Autorun.exe工具清理了重启进安全模式删除,发现删除不了Trojan.VB变种,看来不是有守护进程就是有驱动启动的隐藏进程了,郁闷的该部门全部是Dell品牌机,木光驱,否则用PE系统进去了,有的人说,怎么不用Dos?根据经验这样的病毒在Dos下压根儿就查找不到。电脑使用的是趋势OfficeScan7.0,能准确的报毒,但是无法隔离,看了控制台,只有阻挡生成的功能,没有阻挡运行的功能。看来当前所有杀毒软件只有用 Mcafee企业版了,因为他们机器配置比较好,就直接安装Mcafee VirusScan Enterprise 8.0i 没有升级病毒库,因为Mcafee不需要升级病毒库也可以控制这样的病毒木马。
好了,直接说策略如何作:
打开Mcafee控制台

访问保护

共享资源和文件夹保护

添加

规则名称
阻挡病毒U盘媒体传播
要阻挡的内容
*
要阻挡的文件或文件夹
**Autorun.INF
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件

添加第2条策略

规则名称
阻挡病毒IEXPLORE.EXE创建与执行
要阻挡的内容
*
要阻挡的文件或文件夹
%windir%system32IEXPLORE.EXE
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件

添加第3条策略

规则名称
阻挡病毒SVCH0ST.EXE创建与执行(注意这里的SVCH0ST.EXE中CH后那个是零而非英文o)
要阻挡的内容
*
要阻挡的文件或文件夹
%windir%system32SVCH0ST.EXE
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件

以上策略中绿色字体为步骤,红色字体为需要输入或者钩选的内容

  作完这三条策略后重启计算机,进入桌面后趋势防毒墙启动后弹出警告,发现“Trojan.VB”,趋势写的什么变种我记不得了,不过后面可以看到“隔离成功”,看来麦咖啡在没有升级的情况下和升级的趋势防毒墙双剑合璧蛮不错的 。
回到公司后把病毒样本提交到Virustotal,返回如此报告结果,大家一起参考下:
以上策略中绿色字体为步骤,红色字体为需要输入或者钩选的内容

  作完这三条策略后重启计算机,进入桌面后趋势防毒墙启动后弹出警告,发现“Trojan.VB”,趋势写的什么变种我记不得了,不过后面可以看到“隔离成功”,看来麦咖啡在没有升级的情况下和升级的趋势防毒墙双剑合璧蛮不错的 。
回到公司后把病毒样本提交到Virustotal,返回如此报告结果,大家一起参考下:



  可以看到连小红伞都没有反映,连Avast都无动于衷,看来该变种应该是最新的,趋势防毒墙能查到,看来还不错,当然我们的麦咖啡也没有查到,基于如此多的杀毒引擎只有几款杀毒软件能够辨别为病毒,看来是很新的病毒了,所以这里发布预警,大家先作好以上策略,防御病毒永远胜于查杀病毒。
再贴几张图,大家看看这个Trojan.VB的相貌特征和文件特征








  预防该Trojan.VB变种病毒同样可以如此作策略。通过U盘传播病毒是相当可怕的,大名鼎鼎的熊猫烧香、维金都有如此传播功能,请务必加上这条策略(如果已经作了,可以不添加)

打开Mcafee控制台

访问保护

共享资源和文件夹保护

添加

规则名称
阻挡病毒U盘媒体传播
要阻挡的内容
*
要阻挡的文件或文件夹
**Autorun.INF
要阻挡的文件操作
[√]读取文件
[√]写入文件
[√]执行文件
[√]创建新文件
[ ]删除文件

  Mcafee VirusScan Enterprise 8.5i的操作步骤有所不同,对于对Mcafee企业版操作不够了解的朋友,我再把8.5i版本的步骤写出来,仅供参考:
打开Mcafee控制台

访问保护

用户自定义的规则

新建

文件/文件夹阻止规则

规则名称
阻挡病毒U盘媒体传播
要包含的进程
*
要排除的进程

要阻止的文件或文件夹
**Autorun.INF
要禁止的文件操作
[√]对文件进行读访问
[√]对文件进行写访问
[√]正在执行的文件
[√]正在创建的新文件
[ ]正在删除的文件

添加第2条策略

规则名称
阻挡病毒IEXPLORE.EXE创建与执行
要包含的进程
*
要排除的进程

要阻止的文件或文件夹
%windir%system32IEXPLORE.EXE
要禁止的文件操作
[√]对文件进行读访问
[√]对文件进行写访问
[√]正在执行的文件
[√]正在创建的新文件
[ ]正在删除的文件

添加第3条策略

规则名称
阻挡病毒SVCH0ST.EXE创建与执行(注意这里的SVCH0ST.EXE中CH后那个是零而非英文o)
要包含的进程
*
要排除的进程

要阻止的文件或文件夹
%windir%system32SVCH0ST.EXE
要禁止的文件操作
[√]对文件进行读访问
[√]对文件进行写访问
[√]正在执行的文件
[√]正在创建的新文件
[ ]正在删除的文件
    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章