用McAfee轻松挟制流氓广告软件(转载）

kavii

前几日的杀毒手记，今天有空就写出来和大家一起分享下。
初七去朋友家拜年，也算是网友吧，认识很多年了，来南京工作这么久，还没见过他，有机会当然要见见，其实这位朋友不是别人，是这次我们的McafeeFans Update 1.4的程序员，一是拜年，二是交流程序的制作和编写。
吃过午饭，他舅舅打来电话要他过去帮重装系统，说是中了什么病毒还是怎么的，机器太慢了。我也没有什么事情就跟着过去了，顺便看看什么东西这么厉害。
到了他舅舅家，打开电脑，开机就不大正常，跳过Xp的欢迎界面几乎要等1分钟才能显示桌面 ，看下属性，奔3 800的CPU ，256M内存，不过也没有理由这么慢啊？？ 不说废话拉，切入正题。
打开任务管理器，进程的确有不正常的迹象（有几个英文和数字组成的进程，应该是随机生成的文件名，说明该恶意软件有守护程序，例如象“sjoug46456.exe”“4656464.exe”这些一看就非正常的程序使用的进程），还观察到一个rundl132.exe，光看这个是不能确定是否为熊猫烧香的，因为这个rundl132.exe进程很多年前就一直使用在恶意软件中。然后在cmd下输入“netstat -na”查看当前所监听的端口，从端口来看，应该没有中木马，而是中了广告恶意软件，这些都是表面迹象。
现在我把U盘插入主机，运行autorun.exe工具（没有这个工具的可以到我们网站搜索下载获取），光在英特网浏览器就加载了10多个启动项目 ，你能想到的雅虎助手，中文上网应有尽有啊 ，先删除吧，不过有个YOk搜索工具条删除不了，去掉一些其它嫌疑的启动项目，于是重启计算机。跳过Xp欢迎界面还是至少1分钟后才进入桌面 。再一看任务管理器，依然有几个不正常的进程，看来守护进程非驱动启动的莫属了。再次打开Autorun.exe工具，在驱动项目中，果然有两个驱动不大正常，一没有说明二从安装时间看也不是正常的驱动.尝试删除到回收站中，删除后刷新，原封不动的又出现了，看来这两个是很有问题了。

MD5:94259c3ab577c680b924d23bc23b4b23   00006a22.SYS
MD5:891b802b9577bf202b09c6ebd2604572   Albus.SYS

主机安装的是瑞星，看来是没有用了，卸载了，然后拨号上网下载McAfee Virus Enterprise 8.0，作策略如下：

打开Mcafee控制台
    ↓
   访问保护
    ↓
   共享资源和文件夹保护
    ↓
   添加
    ↓
    规则名称
    阻挡00006a22.SYS
    要阻挡的内容
    *
    要阻挡的文件或文件夹
    **\00006a22.SYS
    要阻挡的文件操作
   [√]读取文件
   [√]写入文件
   [√]执行文件
   [√]创建新文件
   [    ]删除文件


对于Albus.SYS同上处理。
做完策略，我们重启计算机。跳过Xp欢迎界面后唰的一下就进桌面了 ，我完全是如实说啊，没有夸张的成分，以至于我朋友也要抛弃瑞星改用麦咖啡了，用他的话说，太强了，病毒库都没有更新就搞定了。


从上面的步骤，对于新手有很多值得学习的地方，比方说观察任务管理器中的进程，很多可疑进程可以凭经验来推断或者通过搜索引擎来查找结果。找到后根据情况用McAfee作策略再删除这些恶意文件，如果觉得有必要可以打开注册表删除相关键值。

把病毒库升级后扫描两文件，没有任何提示 ，McAfee又让我出丑了，赶紧打包提交给官方，今天更新的4971病毒苦已经可以检测出来了，提供下图，供参考。如果需要样本的可以在后面下载病毒样本。


W32/Adware.Boran病毒样本下载解压密码mcafeefans 病毒样本具有一定危险性，请慎重使用

剑指七星

卖咖啡的监控防守太强悍了

小邪邪

学习一下

yumiren89

咖啡规则是否有效关键在于优先级，假如病毒优先级比咖啡高，那咖啡也会over
这种方法不能彻底清除流氓软件残余，还应该用其他软件做完整日志扫描

ssay

刚换上McAfee，正在学习中

pamier2001

呵呵，只要有ad功能的hips都能阻止进程加载吧。。。
只不过fd更好

idey

文章很好，学习了

jlennon

还这么麻烦，360清理重启就OK了，还写规则。FAINT

qfyy911

请教搂主  这帖子在哪里转的  
作者说道Autorun.exe工具在哪里下?

coppola

URL http://download.sysinternals.com/Files/Autoruns.zip
Referer http://www.microsoft.com/technet ... reads/Autoruns.mspx