请教各位高手,关于temp这条规则应该怎么制定

pyphh

应该是我的规则的漏洞,今天一整天日志闪个不停,当时没有仔细看,只是发觉阻止了很多可疑的进程,如119.exe,531.exe等,还以为是浏览了带毒的网页时阻止的,就清空了日志没有去理会它.

       谁知它再三的报警,我有点莫名其妙了,就仔细的看了下日志,发觉是temp文件目录下的两个jpg后缀名(图片?)的文件正在悄悄的往我的系统里安装一些exe文件,不过被阻止了,忘记是哪一条规则阻止它了.
      
       后来用绿色版dr.web扫描出这两个(图片?)是病毒来的,不过咖啡竟然没有报警(咖啡的病毒监控还是不够厉害,还好有强大的规则作后盾)

       虽然这次没有造成什么意外,但发现还是有一个不尽人意的地方,比如咖啡的默认规则里面有几条关于temp文件夹,禁止所有程序从 Temp 文件夹运行文件,禁止从 Temp 文件夹执行脚本,禁止从 Temp 文件夹执行脚本等,这些规则对于像exe,vbs等可执行文件和脚本防护得很厉害,开了这几条规则,temp文件目录下的exe文件根本运行不了,还没有运行就被阻止了,但像这次的jpg文件带了病毒,竟然没有触动这些规则,而是在它下载那些119.exe等可执行文件时才阻止它,会不会有点迟钝了,


我想其实一般情况下可以阻止temp下的任何程序包括exe,jpg,甚至是最常见的文本文档等的执行,那有没有这样一条规则,使得temp文件目录下的所有文件都不能双击打开

[ 本帖最后由 pyphh 于 2007-5-9 20:38 编辑 ]

ouran

看来似乎是艾妮蠕虫
mcafee的这几条规则中的temp是temp*，包含所有以temp开头的文件夹及其子文件夹，例如Temp、Templates、Temporary Internet Files等
阻止的文件类型默认包含exe dll com scr pif sys vbs  js  htm......
如果阻止的在temp创建或者执行所有文件，系统必然出错，网都不能上

[ 本帖最后由 ouran 于 2007-5-9 21:03 编辑 ]

pyphh

那有没有更好的规则吗

小邪邪

把那规则里要包含的进程改为"*"就可以了

这是经过实践的：比如微软的最新漏洞ANI，在那个补丁还没出来的时候
我还经常进毒网，证实默认的这条规则稍微修改一下就足够让任何进到缓存区里的一切“毒物”都变为“死物”了
执行临时文件夹里的危险的可执行文件时会被完全阻止的

要注意不要随便排除那些敏感的进程（比如IE，CMD等等，没什么问题的）
事后清空一下IE缓存就可以


还有默认规则里其它关于Temp文件夹的规则也可以看一下，稍微改一下，已经够用了

[ 本帖最后由 小邪邪 于 2007-5-9 21:44 编辑 ]

小邪邪

要注意所谓的jpg其实也等于是一个脚本，它的任务是“指使”浏览器下载那个EXE文件
而真正要发作的，起破坏作用的还是那个EXE文件

其实最好的防线还是及时打上补丁，堵上所有已知的漏洞

jm6275680

版主正解！

pyphh

请问版主,那具体怎样制定规则啊,默认的怎么改,如果自定义一条规则,我建了一条,包含进程为*,要阻止的文件或文件名为**\temp\*,禁止执行,但好像起不了作用,双击jpg,文件照样可以打开

小邪邪

包含进程： *
要阻止的文件或文件名： **\*temp*\**
禁止的操作： 执行


好象没必要把杀伤力搞得这么大

小邪邪

还有temp目录里的文件可以全部都给删除掉，随时随地，不用多看，没什么好顾虑的

thelord

*.jpg.vbs?
默认规则“禁止从 Temp 文件夹执行脚本”没有阻止么？是ie执行的？