磁碟机变种突破规则？

显示全部楼层 · 发表于 2008-3-5 10:56:40

咖啡的规则是禁止在SYSTEM32\COM生成新文件和保护文件隐藏和保护安全模式，在虚拟机运行磁碟机最新变种，第一次双击运行，咖啡规则阻挡了文件生成，但系统自动关闭重启，启动以后正常无异，接着再次双击病毒文件，就发现规则给突破，smss.exe和lsass.exe已经生成，系统文件自动隐藏，安全模式已经给破坏，重启以后发现咖啡依旧运行者，但规则已经没有起作用，是不是给大量的垃圾消息给阻塞了？

显示全部楼层 · 发表于 2008-3-5 11:21:48

只要是自动关闭重启那就说明已经中毒了，哪一个规则？如果是加强版应该不会出现这种问题。

显示全部楼层 · 发表于 2008-3-5 11:43:55

道高一尺魔高一丈，厉害。

显示全部楼层 · 发表于 2008-3-5 12:23:44

我昨天被这个变种病毒给折磨了一天。最后没办法GHO了。我试这个毒的时候。第一次没有重启，也似乎挡住了。但突破了麦咖啡的规则了。因为只要你运行一次这个病毒。麦咖啡的规则就不管用了。比如我有不允许建立EXE文件。但运行病毒后，咖啡好象挡住了。但你就可以在任何地方建立EXE文件了。

期待高人出现！

显示全部楼层 · 发表于 2008-3-5 12:24:10

to:aribeth199 我是让病毒程序允许运行来测试下规则效果，所以病毒肯定能运行，我需要的是病毒运行了也不会造成损坏
已经查出是什么问题了，第一次运行病毒将[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield给删除了，所以看上去系统没有什么中毒情况，你再次运行时候就完蛋了，添加了规则保护这个服务不会给关闭,一切正常

显示全部楼层 · 发表于 2008-3-5 12:27:17

原帖由 ronin 于 2008-3-5 12:24 发表
to:aribeth199 我是让病毒程序允许运行来测试下规则效果，所以病毒肯定能运行，我需要的是病毒运行了也不会造成损坏
已经查出是什么问题了，第一次运行病毒将[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service ...

朋友是怎么找出这个原因的？

显示全部楼层 · 发表于 2008-3-5 12:50:43

注册表保护McAfee服务
要包含进程：*
要排除进程：
要保护注册表：HKLM\SYSTEM\*ControlSet*\Services\Mc*\**
规则类型：项
要阻止的注册表操作：删除项或者值

显示全部楼层 · 发表于 2008-3-5 13:39:43

多谢兄弟！我测试一下！

显示全部楼层 · 发表于 2008-3-5 15:11:35

咖啡的注册表程序是需要保护的，对所有杀毒软件都是如此，如果没有的话，如果自身保护不够强的话，还是会被关闭。原来有一个可以关闭咖啡的程序，也可以关闭卡巴，现在已经不能关闭卡巴了，对咖啡还是有作用。

显示全部楼层 · 发表于 2008-3-5 18:24:01

我个人觉得你的规则有问题，如设为没有信任的程序不能访问C盘的DLL文件的话就会没事的是．

[讨论] 磁碟机变种突破规则？