qq粘虫与咖啡默认规则的思考

xxygttt

病毒的样本见：http://bbs.kafan.cn/thread-1131987-1-1.html
月神可以说是被过了。因默认级别是低启发，企业版默认就是这样滴!
这个病毒的具体的行为是：
1：调用系统库文件加载自己，也就是C:\Windows这个路径中的ｄｌｌ文件和ｅｘｅ文件，生成 《 图片.exe》进程。
2：强制的结束掉ｑｑ.exe进程(我的机子上是tm，为了这个病毒还专门的下了个qq，晕，它不会结束掉tm的进程 )
3：当你再次启动的qq进程的时候，会像qq.exe发送消息，也就是访问qq的内存。(突然的下线，逼着你再次启动qq程序)
   《图片.exe》进程伪装成密码输入框，然你输入密码。
4：联网，上传密码。
以上是病毒的行为。
那么咖啡怎么能防住呢？个人见解如下 ：
1：禁止陌生的程序访问C:\Windows的exe文件与dll
2：禁止陌生程序的联网
3：咖啡的默认规则我通常情况下是开到最大的，外加排除，那么这个病毒时候能防住呢。个人试验了下，咖啡没有能防住(除过http联网的这个规则，而这个规则就算是启用，但是病毒已经运行了)。
总结：咖啡的默认规则，对于个人用户的使用还是有弊端的。理解默认规则，加以排除和改造，才是个人用户使用咖啡的正确方式。

恩～默认很强大，但，得有相应的合理修改！

附：

1：禁止默认的程序访问C:\Windows的exe文件

应改为：

1：禁止默认的程序访问C:\Windows的dll文件

rainbown9

赞LZ...好细心~好文~~

xxygttt

storyhare 发表于 2011-12-7 14:08
恩～默认很强大，但，得有相应的合理修改！

附：

感谢版主的提醒，已经改正了！其实禁止陌生的程序访问dll和exe更安全的！
版主你说呢？

钢铁侠

始终觉得VES只是咖啡企业安全防护的一个环节而已，不能要求它面面俱到，咖啡有一整套的产品保障企业用户的数据安全，个人用户单用VES相当于是阉割了使用。
楼主说的情况其实只要加个防火墙就可以阻止密码的泄漏了。