彻底解决掉样本区的远控木马，让小柯同学哭吧

化石MM

最近逛病毒样本区发现远控木马很火嘛，各种变种，各种被过。
一个使用rundll32快捷方式创建dll文件的病毒，利用系统文件创建病毒程序，显然是用来过主防的，这种病毒行为低级，甚至不会创建开机启动项，（xp下可以创建开机启动）破坏度极低，只需要一个dll联网远控，重启电脑后，病毒不会再次发作，不会触碰uac
病毒这么低级，还这么火，卡巴斯基没有办法了吗，不，一定要想出办法， 让小柯同学去哭吧
废话不说，上图
应用程序控制下管理身份保护添加规则

规则内添加文件windows7/8用户C:\Users\你的用户名\AppData\Roaming\Microsoft\*.dll
windows xp用户请添加文件C:\Program Files\CmsSeal\*(xp系统路径暂定，需要其他样本测试）

最后管理应用程序下设置组规则，点击移动到组，对着组右键
信任组的细节和规则，文件和注册表，把我们自定义的规则全部设置为拒绝

低限制组也是如此炮制

运行病毒，看结果

好了，小柯同学哭吧

hqhxzly

限制roaming/microsoft下所有dll读写，这样好吗？

化石MM

hqhxzly 发表于 2013-11-20 11:42
限制roaming/microsoft下所有dll读写，这样好吗？

这下面会有哪个应用程序创建裸dll呢？都会创建一个文件夹的，倒是xp系统不好办，改文件夹名就可以了

whl2012

好久没来论坛了，来看看老朋友

dongwenqi

不错，支持，我回去弄弄

花季老头

安装了卡巴，运行病毒后弹出这样的对话框总觉得怪怪的

aplk1002

試了下可以
不過為什麼dll的危險級別是中(等級:70)卡巴卻放在低限制……

化石MM

aplk1002 发表于 2013-11-20 13:02
試了下可以
不過為什麼dll的危險級別是中(等級:70)卡巴卻放在低限制……

谁知道呢。我记得貌似是等级50吧

cobrayang

支持LZ的探索精神！
来看看我机器上两条规则的阻止记录吧：
2013/11/20        13:18:34        已由访问保护规则禁止 C:\Windows\SysWOW64\rundll32.exe         C:\Users\cobra\AppData\Roaming\Microsoft\RioRioMe.dll        用户定义的规则:封锁DLL        已阻止的操作: 创建
2013/11/20        13:18:59        已由访问保护规则禁止 C:\Windows\System32\rundll32.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\GrpConv         通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建

这才是规则应用的王道！

hqhxzly

这下面会有哪个应用程序创建裸dll呢？都会创建一个文件夹的

好像是啊，学习了，支持楼主