咖啡防入口通用型规则包【7月19更新】

xqiafl

网页木马,   不是由IE 来执行的????   呵呵!!

不管是VBS, BAT ,COM ,EXE  不管是用VBS 调用EXE , 调用BAT,

或者,直接调用EXE文件,  全是由IE 代劳的.  木马并非无条件自动运行的.

所以, 临时文件夹,  你只不过是包含了, 临时文件的进程.  但问题是, 这个里面的东西,

没一个是会自己运行的!!   

你这规则没中网马, 本人估计是你打了补丁了.

Nore

嗯，自己加进去了
不过好像差不多有的

深红的雪

呵呵，看到你的回复真是让我又高兴 又气 。
IE执行病毒的情况，绝大大部分都在缓存文件夹里执行，也就是说，限制缓存文件夹的权限就限制了大部分病毒。
看来这个问题不是三言两语能说清的，我在一楼里更新说明，请过目。

[ 本帖最后由 rappar 于 2007-12-15 03:06 编辑 ]

xqiafl

呵呵!!   看过了.    本人建议你,  先用下网马.

如你另一篇贴子中所说,  只有了解了,才能写出好规则.

但,看你写的东西,   本人不是打击你,   你对网马这东西, 知之甚少!

深红的雪

狂汗........
我12点时才更新一楼，我未更新你就看过了？

xqiafl

3.木马、病毒的入侵：打开有病毒的网页后，病毒就开始入侵了。
入侵方式：
（1）由浏览器下载到IE缓存目录，再由IE执行之。
（2）由浏览器调用脚本宿主工具，wscript.exe解释脚本，病毒下载到IE缓存目录，再回到脚本，再由wscript.exe调用（解释）运行，FSO控件大家应该都知道吧。（我为什么说病毒不一定由浏览器来执行就是这个原因）
（3）由浏览器调用脚本工具，wscript.exe解释脚本，并调用系统API函数获取本地特殊路径，把病毒下载该目录，再回到脚本，再由wscript.exe运行，也可以由IE运行。

要防住（1）、（2）很简单，管制IE缓存目录就可以了。问题是（3），病毒不直接落脚在IE缓存目录，因此需要对病毒写入其它目录进行防范。

不要怪我说你,  只是你写的东西, 确实有很多让我说的位置!

由浏览器下载到IE缓存目录，再由IE执行之。

非也,    IE 缓存目录只是暂时性保留文件,  当然,木马下载到缓存目录后, 会通过IE 自动复制到

指定目录.  比如: TEMP 目录.

由浏览器调用脚本宿主工具，wscript.exe解释脚本，病毒下载到IE缓存目录，再回到脚本，再由wscript.exe调用（解释）运行，FSO控件大家应该都知道吧。（我为什么说病毒不一定由浏览器来执行就是这个原因）

非也!

IE 调用脚本宿主工具, 一般情况是,  由VBS ,或者VBE 文件调用EXE文件.

而, 这两个文件,往往都是同时下载到缓存目录, 再复制到指定目录.

你只不过, 是限制了缓存目录的EXE文件的操作. 但, 这个复制过程是IE 在做.

FSO 组件,  这个06014的网马的一部分代码就是调用的这个FSO 组件.

WS 组件也一样.   APPLICATION  等等.    虽然如你所说,   06014是调用组件来执行可执行程序.

但,  是谁调用了这些组件??   是网马,  网马是谁在运行??  是IE.  所以, 这个还是IE 在运行.

（3）由浏览器调用脚本工具，wscript.exe解释脚本，并调用系统API函数获取本地特殊路径，把病毒下载该目录，再回到脚本，再由wscript.exe运行，也可以由IE运行。

这个,网马是脚本类的, 获取路径,  只是调用的它一类脚本中的函数, 而并非API 函数.  

补充:  看你说了三点,  实质上这只是一种.情况!!!  

还有其它的情况没考虑到.  本人建议你, 把07004的网马, 放到虚拟机中运行, 你就了解的更多点!

另外,  你说网马是调用FSO , WS 来运行.??  是的,有的06014网马是用WS 组件来运行.

但一般情况, 现在的06014一般都是以APPLICATION 来运行.

脚本下载者, 是用WS来运行!

[ 本帖最后由 xqiafl 于 2007-12-12 12:13 编辑 ]

深红的雪

谢谢指教！

1.管制浏览器的做法自然是必要的，这点我在规则包中已经有防范，但可能还不全面，需要改进。建议你还是先看看我的规则。

2.禁用组件来防止病毒运行正是我的思路，你所说的WS 组件我在说明中已有提及，并已加以防范，还是请你认真看看。至于APPLICATION，由于shell32.dll很重要，总不能禁止IE去调用它吧？这个也是这个规则包不完善之处。（【更新】更新的规则包中已经加入禁止浏览器调用shell32.dll的规则，可不过能会影响一些功能的使用，开不开启次规则请自行决定）
事实上，管制好浏览器就已经可以达到不错的防护效果，禁用组件只是多增加一层保护。

3.如果你有网马样本的话，可以发上来，我会在测试后再改进规则的。最好是毒网网址，因为木马在本地运行和从网络感染是两回事。

“网马是脚本类的, 获取路径,  只是调用的它一类脚本中的函数, 而并非API 函数"
关于这点其实我并不清楚，我是请教其它人后才如此认为的。你的意见我先保留，这个我慢慢再研究。

4.“由浏览器下载到IE缓存目录，再由IE执行之。”这种情况不是没有！我在测试毒网时就遇过不少，的确缓存文件夹下的文件不会自动执行，但被IE执行后它会直接进行文件操作感染系统。而”下载到IE缓存目录，在复制其它目录“这种情况我已经有所防范，其实我很想知道你到底有没有看过我的规则包.....

再次感谢你的意见，也让我学到不少

[ 本帖最后由 rappar 于 2007-12-12 15:28 编辑 ]

深红的雪

原帖由 xqiafl 于 2007-12-12 09:08 发表
现在的病毒无孔不入,   QQ 病毒就有很多是写到程序目录中的.

一般,程序完全可使用绿色版的.  而不需要把程序目录排除在外,因为这样很危险!

我昨天运行一个病毒,  我系统目录中, 就排除了IE 写入, 也禁止程序调 ...

之前看漏了这段。。

禁止调用IE后结果病毒还能调用IE？是你的排除项设置有问题吧？

在加入完善的FD规则后，病毒是不可能进入Windows等文件夹的。把程序目录排除——再保护该目录，这种思想之前我就有说过了，规则设得好，绝对没问题

倒是你提到的QQ值得仔细考虑。看来还需要对QQ进行管制，毕竟用户用QQ时不小心运行了QQ病毒就常有的事

xqiafl

呵呵.  只要在物理机中建个IIS. 虚拟机中,  运行网马就行了.

不过,要虚拟机装MCAFEE才行.  当然, 如果你物理机没打补丁, 可以试试.

禁止调用IE后结果病毒还能调用IE？是你的排除项设置有问题吧？

排除项没问题,  是直接穿透了.    病毒在程序调用时,直接跳过了这步.

直接用IE 下载病毒.   不过,后来, 我把调用IE 里面的, 创建文件,打上钩后,

就运行不了了. 以前没在这个上面打钩.  不过, 昨天运行的那个病毒还是提醒了我!

你的文章,我是看了,  但规则包没下下来看,  我系统打补丁了, 对于毒网,看不出效果!

没用过网马,就想到这一步,   想要控制缓存目录,  和我以前想法一样.   是不过,

等你真正了解网马了,  你就知道,  这一步是多余的.  你说的在缓存目录中马.

是因为, 你没发现,EXE 木马程序的真正目录!   

去下些网马生成器, 回去好好研究.  祝你写出更好的规则吧!

wweir

不错的规则，学习了，感谢分享了！