闲着无聊，发点儿东西大家练手玩吧

显示全部楼层 · 发表于 2010-12-29 22:07:53

本帖最后由必要插件于 2010-12-30 23:41 编辑

发一个江民的病毒播报，大家说说用什么样的规则防它啊

英文名称：Backdoor/Wuca.lv
中文名称：“舞客”变种lv
病毒长度：17422字节
病毒类型：后门
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
MD5 校验：81235b8feabfcb4a547e80e0583387cf
特征描述：
Backdoor/Wuca.lv“舞客”变种lv是“舞客”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。“舞客”变种lv运行后，会读取被感染系统的“%SystemRoot%\system32\config\”文件夹下的“default”。后台执行命令“cmd /c taskkill /im cfmon.exe /f”，之后在“%programfiles%\Common Files\%SESSIONNAME%\”文件夹下释放恶意程序“cfmon.exe”并调用运行。秘密连接骇客指定的站点“d.qq1*800.com”，侦听骇客指令，然后在被感染的计算机上执行相应的恶意操作。骇客可通过“舞客”变种lv完全远程控制被感染的计算机系统，从而给用户的个人隐私甚至是商业机密造成了不同程度的威胁和侵害。

自己做个简单的解释吧。。。
直奔重点了，cmd /c taskkill /im cfmon.exe /f
这句分开来看，cmd 执行命令提示符 taskkill 是windows自带的一个结束进程用的程序
可以看出这个后门先强行（/f）结束掉系统中正在运行的cfmon.exe，然后在“%programfiles%\Common Files\%SESSIONNAME%\”文件夹下释放恶意程序“cfmon.exe”并调用运行来完成后面的后门操作。
注：正常的ctfmon.exe是OFFICE产品套装的一部分，是有关输入法的一个可执行文件。
预防的话可以考虑保护default文件，禁用cmd，taskkill或此恶意cfmon文件，自带的禁止伪装windows应该也可预防此后门。

PS ：回答的同学无论正确与否，均可得到+1积分的奖励

显示全部楼层 · 发表于 2010-12-29 22:10:22

我不会，是来学习的。往下看吧

显示全部楼层 · 发表于 2010-12-29 22:14:48

这个还真的不知道,偶来加分来的

显示全部楼层 · 发表于 2010-12-29 22:33:20

本帖最后由 sandyyangjie 于 2010-12-29 22:34 编辑

阻止进程：*
排除：无
目标：**\taskkill.exe
操作：读取、执行

阻止进程：*
排除：无
目标：**\cfmon.exe
操作：写入、新建、删除

多写一条是不是可以多给一分。。。

显示全部楼层 · 发表于 2010-12-29 22:50:03

回复 4楼 sandyyangjie 的帖子

你怎么不等大家都踊跃发言后再回帖

显示全部楼层 · 发表于 2010-12-29 23:17:30

本帖最后由 lhhluo 于 2010-12-29 23:21 编辑

我觉得现在论坛上的几个规则，只要不在指定的许可的文件夹内执行病毒，应该都不会被感染吧？
然后，我想，整个过程只要保护好cfmon.exe应该就可以了吧

显示全部楼层 · 发表于 2010-12-29 23:23:23

回复 6楼 lhhluo 的帖子

那个。。。其实。。。
咖啡的规则不能限定对文件夹的操作，所以我觉得制定可信任文件夹并不太安全
你把文件夹改下名字，里面的东西就都不受保护了

不知道有没有注册表方面的规则来限制对文件夹的操作，等高手或官方来解决这个问题吧

显示全部楼层 · 发表于 2010-12-30 10:15:41

必要插件发表于 2010-12-29 22:50
回复 4楼 sandyyangjie 的帖子

你怎么不等大家都踊跃发言后再回帖

俺错了。。。。

显示全部楼层 · 发表于 2010-12-30 10:46:17

必要插件发表于 2010-12-29 23:23
回复 6楼 lhhluo 的帖子

那个。。。其实。。。

将功补过，我也发了一个～～http://bbs.kafan.cn/thread-878032-1-1.html

显示全部楼层 · 发表于 2010-12-30 13:22:21

我是来支持插件和熊猫的。顺便学习下。

[讨论] 闲着无聊，发点儿东西大家练手玩吧