为何MCAFEE规则阻止不了U盘伪装文件夹病毒

显示全部楼层 · 发表于 2008-11-11 23:20:59

由于常拷U盘，碰到伪装成文件夹图标的病毒，容易不小心误击而中毒。
用MCAFEE8.5设计一条规则，发现对U盘上的任何EXE文件运行都无动于衷。
D:\My Documents\desktop\1.jpg

改成以下规则，发现：如果U盘上可执行文件会调用系统文件夹下的DLL,DRV,SYS等文件，则会阻止，
如果U盘上可执行文件不调用系统文件夹下的DLL,DRV,SYS等文件，则不阻止
D:\My Documents\desktop\2.jpg
搞不懂MCAFEE啊！

显示全部楼层 · 发表于 2008-11-11 23:24:13

为何MCAFEE规则阻止不了U盘伪装文件夹病毒
由于常拷U盘，碰到伪装成文件夹图标的病毒，容易不小心误击而中毒。
用MCAFEE8.5设计一条规则，发现对U盘上的任何EXE文件运行都无动于衷。
file:///D:/My%20Documents/desktop/1.jpg
改成以下规则，发现：如果U盘上可执行文件会调用系统文件夹下的DLL,DRV,SYS等文件，则会阻止，
如果U盘上可执行文件不调用系统文件夹下的DLL,DRV,SYS等文件，则不阻止
file:///D:/My%20Documents/desktop/2.jpg
搞不懂MCAFEE啊！

显示全部楼层 · 发表于 2008-11-11 23:39:14

为何MCAFEE规则阻止不了U盘伪装文件夹病毒
由于常拷U盘，碰到伪装成文件夹图标的病毒，容易不小心误击而中毒。
用MCAFEE8.5设计一条规则，发现对U盘上的任何EXE文件运行都无动于衷。

规则名称：防U盘EXE病毒规则1(要排除-硬盘c,d,e,光驱f）
要包含的进程：*
要排除的进程：**c:\**, d:\**，e:\**，f:\**
要阻挡的文件或文件名：**\*.exe
要阻止的文件操作：正在执行的文件

若改成以下规则，发现：如果U盘上可执行文件会调用系统文件夹下的DLL,DRV,SYS等文件，则会阻止，
如果U盘上可执行文件不调用系统文件夹下的DLL,DRV,SYS等文件，则不阻止
规则名称：防U盘病毒规则2(要排除-硬盘c,d,e,光驱f）
要包含的进程：*
要排除的进程：**c:\**, d:\**，e:\**，f:\**
要阻挡的文件或文件名：*.*
要阻止的文件操作：正在执行的文件

搞不懂MCAFEE啊！

显示全部楼层 · 发表于 2008-11-12 01:00:54

适合自己的规则，就是最好的规则，发现不对了，就自己去增加呗，我也是会菜鸟，可是我发现不难的。话说，病毒区的病毒好可怕，过红伞，过小A，过咖啡。。。。。。。还好没过HIPS。

显示全部楼层 · 发表于 2008-11-12 10:59:07

我也加了一条跟楼主防U盘病毒规则2一样的规则，没有出现问题啊

显示全部楼层 · 发表于 2008-11-12 11:36:32

对于这样的病毒，只要不隐藏文件后缀名应该没事吧？我觉得你不会认为文件夹后面还有个EXE后缀名吧？菜鸟之见，说的不好，勿怪。

显示全部楼层 · 发表于 2008-11-12 11:49:17

我也是用的和LZ一样的第2条规则，不过禁止的文件操作选了全部。

显示全部楼层 · 发表于 2008-11-12 12:03:53

试试把“要排除的进程：**c:\**, d:\**，e:\**，f:\**”这里面的去掉看

显示全部楼层 · 发表于 2008-11-12 13:41:21

原帖由 xxp2277 于 2008-11-12 11:49 发表
我也是用的和LZ一样的第2条规则，不过禁止的文件操作选了全部。

读操作没必要选吧

显示全部楼层 · 发表于 2008-11-12 13:51:14

咖啡好像不能这样吧，你都自己运行了的。。。。

哎，一个小a的拦截器，搞定。。。。

还有，不要隐藏文件后缀名，隐藏这个习惯不太好

[求助] 为何MCAFEE规则阻止不了U盘伪装文件夹病毒

补发图片上来

不好意思，图片还没传上