火绒能加个自动结束病毒进程就好了

袁帅

更新完火绒到最新后，双击下载这里的第十个样本，http://bbs.kafan.cn/thread-1211023-1-1.html两句话杀手
Bomb/bomma01.vbs
介绍：
乍看起来，这个样本很可笑，它只有两句话。双击它后，所有文件，，都被删除了，当他双击这个文件，没有任何提示，没有任何窗口，突然自己所有的重要资料都被删除了

我通过火绒的默认的设置再双击运行样本，这里如果点结束进程可阻止继续删但不排除有大量非系统文件已经被删除，如果点阻止是没用的，重启后机都开不了，所以发此帖，望火绒改进 ，如果按下图设置为自动清除所有文件还是被干掉了

zdlzp

系统加固里有自动阻止

以上是防御的纠结点

袁帅

zdlzp 发表于 2013-2-19 09:30
系统加固里有自动阻止

这样本阻止不结束进程和不阻止一样效果

大金鱼先生

.vbs里的指令是靠cmd执行的,你结束掉cmd是不是不对呢?加入我调用explorer.exe去删除文件,那是不是去结束explorer.exe?如果是注入系统关键进程，将进程结束，启动-结束-系统重启-病毒启动不就陷入死循环了？

vm001

大金鱼先生 发表于 2013-2-19 09:49
.vbs里的指令是靠cmd执行的,你结束掉cmd是不是不对呢?加入我调用explorer.exe去删除文件,那是不是去结束exp ...

其实这个第一可以在杀软里填入过滤系统进程，第二做好对注入系统进程的防御入口，第三准确识别进程关系...
不过这样下来规则有点复杂

袁帅

大金鱼先生 发表于 2013-2-19 09:49
.vbs里的指令是靠cmd执行的,你结束掉cmd是不是不对呢?加入我调用explorer.exe去删除文件,那是不是去结束exp ...

可这里除了点结束进程之外别无它法啊，而且就算是在第一次弹窗出现时点了结束进程其实还是有许多文件被删了，改变设置试了几次，让火绒自动处理也不能彻底阻止，眼看着只留下空文件包

大金鱼先生

vm001 发表于 2013-2-19 09:58
其实这个第一可以在杀软里填入过滤系统进程，第二做好对注入系统进程的防御入口，第三准确识别进程关系.. ...

```一般病毒注入系统进程的话,那么你就不能去结束,如果你能禁止它注入的话,那么就不用去结束````

大金鱼先生

袁帅 发表于 2013-2-19 09:59
可这里除了点结束进程之外别无它法啊，而且就算是在第一次弹窗出现时点了结束进程其实还是有许多文件被 ...

火绒只是阻止了删除系统文件而已,对于你自己的文件当然得自己添加规则,如果你不加入针对自己文件的规则,假如那个vbs不删除系统文件只删除你的文件的话,那么火绒默认规则肯定不会报毒的

袁帅

大金鱼先生 发表于 2013-2-19 12:40
火绒只是阻止了删除系统文件而已,对于你自己的文件当然得自己添加规则,如果你不加入针对自己文件的规则,假 ...

我等哪会自己加规则，不知有现成规则导入否？

大金鱼先生

袁帅 发表于 2013-2-19 12:58
我等哪会自己加规则，不知有现成规则导入否？

换个杀软吧,比如360`````