AUTO病毒变种

BLHIZW

以下是我在百度百科里看到的有关HIPS的相关知识，现复制给大家看看。
Host Intrusion Prevent System [url＝http://baike.baidu.com/preview/id=1311923]主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。
因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。
我们个人用的HIPS可以分为3D： AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.

　　二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)！

　　上面是对hips和防火墙作个区别，因为杀软和这两类软件差别比较大，就不拿到这里来说了，下面我具体介绍一下hips以及常见的几款hips安全软件，希望对各位有所裨益！

　　我们个人用的HIPS可以分为3D：
　　AD(Application Defend)应用程序防御体系
　　RD(Registry Defend)注册表防御体系
　　FD(File Defend)文件防御体系
　　它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

　　常用的HIPS软件有：
SNS(Safe'n'Sec Personal)--AD+FD+RD，
SSM(System Safety Monitor)，
PG(ProcessGuard和Port Explorer)--AD+RD，
GSS(Ghost Security Suite)--AD+RD，
SS(SafeSystem 2006)--FD.
EQSecure(国产的E盾)--AD+FD+RD

　　其实我觉得这些hips软件在功能上也大多差不多，更多的我们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉)，谁更适合国人所需，谁更简单易操作，下面我就这些方面做个相对比较简单的介绍吧！

　　首先是SSM(System Safety Monitor） --因为我比较喜欢这款： 商业版免费版 注册表监视： 高级 基本过程监视： 高级 基本底层磁盘访问控制：有 无底层键盘访问控制： 有 无 NT服务监视： 高级 基本 IE设置跟踪：高级 基本用户程序友好对话： 有 无优先支持： 高 低开发优先： 高 低 Win9x支持： 无 有

　　SSM在声誉上面是相当不错的，而且也相对很稳定--虽然能被ICEword干掉，不过其他的hips类好像也都是能被干掉的，这个不是重点，因为在冰刃要干掉他们之前，hips软件已经会报警询问是否允许该项操作，虽然说确了个FD功能，不过我觉得对个人用户来说已经相当足够，起码我已经有半年时间未中毒插马了--当然，如果你还是不放心，再装上个SS补足3D功能也是可以的，最关键的是SSM商业版已经被成功破解了(该软件有简体中文版)，唯一觉得不爽的可能就是早期使用比较繁琐，毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事，所以一般在刚装上的时候，我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了，占用资源也还可以，一般是一个进程10M左右，cpu基本没感觉.我给SSM打90分

　　其次是SNS(Safe'n'Sec Personal) --他是唯一3D的哦，它建立在行为分析的基础上，有最先进的预先侦查系统，可以防止病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大突破。同时，快速安装，易于操作的界面，和反病毒软件和个人防火墙极好的兼容性，智能的决策技术，最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗，这个是官方介绍，我自己觉得是相当的牛了，不过我自己还没有用过--这是全英文版本英语太菜，而且没有破解(专业加密公司出品，想破解难度好大的)，在网上看过测评，据说是比GSS+SS还要牛的.我给SNS打95分

   再下来就是GSS(Ghost Security Suite) ，其实用的时间并不是很长，可能没有多大发言权，不过我个人不是很喜欢这款，因为貌似不太稳定，在运行大型游戏的时候，似乎CPU容易飙升，这个不少人如此，不知道是不是此软件本来就是如此，但是GSS还是相当不错的--简单明了，有自己的操作模式，不如SSM来的细致繁琐，但是也是相当安全，特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉，我昏，而且长时间没有更新了，不知道搞什么！不过话说回来，现在网路广泛流传的GSS亚尔迪破解版还是很不错的.我给GSS打88分，GSS+SS打92分

　　最后简单说下PG和SS，SS规则完善但不够稳定，PG简单稳定，大致上PG感觉和SSM以及GSS差不多，就看用户个人喜好了~~~

　　最后还提一款hips软件--Winpooch(因为没有用过，所以就只能借用别人的话来说了)，相对GSS而言，无疑，GSS的稳定性比Winpooch略强，但是GSS的规则添加到500条左右的时候就会变得很慢，而且GSS只能监控注册表，但是，Winpooch不只可以监控注册表，还可以监控文件的读取、写入，还可以监控网络连接，而且目前Winpooch已经有600多条规则了，对系统的影响还是很小，软件推荐给你了，好不好用还得你自己测试才最实际。


　　用了hips软件，基本上，杀软可以卸载了，呵呵，但是防火墙还是一定得要的. 至于每款软件的具体教程，网上有很多，我这里也就不一一赘述了，感兴趣的人，我们倒是可以一起探讨，呵呵！另外说句，这类hips软件和杀软以及防火墙的选用一样，没有所谓的最好，只有对你个人而言的更好，所以，怎么选择，全看你自己

zwl2828

Begin scan in 'C:\Users\Wesley\Downloads\Com.rar'
C:\Users\Wesley\Downloads\Com.rar
  [0] Archive type: RAR
  --> Com\LSASS.EXE
      [DETECTION] Is the Trojan horse TR/Agent.45056.I
  --> Com\netcfg.000
      [DETECTION] Is the Trojan horse TR/Agent.45056.I
  --> Com\netcfg.dll
      [DETECTION] Is the Trojan horse TR/Agent.45056.I
  --> Com\SMSS.EXE
      [DETECTION] Is the Trojan horse TR/Agent.dzc.2
      [INFO]      The file was moved to '47d8a268.qua'!

sam.to

Hello,

comadmin.dll, comempty.dat, comexp.msc, comrepl.exe, comrereg.exe, mtsadmin.tlb

No malicious code were found in these files.

LSASS.EXE - Virus.Win32.Xorer.cf

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Vyacheslav Zakorzhevsky
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

wangfeng66

D:\LSASS.EXE\data002 - infected with Win32.HLLW.Autoruner.1040
D:\SMSS.EXE - infected with Win32.HLLW.Autoruner.1040

Archive contains 2 infected items

DRWEB 4.44   看来DRWEB入库了

luhaikongzy

多谢各位朋友的方法，看了朋友们的帖子，我唯一担心的就是这个病毒可以通过ARP攻击传播，上次同学用360下载补丁的时候我就注意到了。但是毕竟有的同学对电脑不感兴趣的，电脑安全方面的知识比较少，平时没怎么注意，上网的时候不注意被ARP一攻击，下载一个不明文件来，岂不是又要中？这点谁能解决啊？多谢。

zxoyc

已检测到: 病毒 Virus.Win32.Xorer.cf        URL: http://bbs.kafan.cn/attachment.php?aid=170734/Com/LSASS.EXE
根本不让下载。呵呵。

牵手

查出两个来。

avalonfish

F:\Com.rar ?RAR ?Com\LSASS.EXE - Win32/Xorer 病毒 的变种
F:\Com.rar ?RAR ?Com\SMSS.EXE - Win32/Small.NBU 蠕虫

QQ289173110

微点报了~~

dsl5

微点升级前是延迟报的,大概是3分钟左右 升级后估计会马上报了删除后微点会自动修复隐藏文件