更新规则应付新变种的Autorun.inf U盘病毒

peaceful20824

我们知道U盘病毒都有一个共同的特征，那就是它们都有一个Autorun.inf文件，该文件起到了引导自动播放功能启动病毒的功能，如果你没有关闭自动播放的功能，那么很遗憾的告诉你，你中毒了，如果杀毒软件没有检测到，更遗憾，清除这个病毒还得修复注册表，所以每隔一段时间备份一次注册表是非常有必要的。
        麦粉的老会员都知道细水以前告诫大家作一个防范U盘病毒规则，通过该规则可以杜绝该病毒，但是目前我们可以发现U盘病毒应该有新的变种出现了，我在前两个星期给一个物业的电脑清理病毒的时候发现了一个U盘病毒，我将自动播放关闭了，也在我的虚拟机给感染了，不过我一不小心忘记关闭麦咖啡，带回来的样本给杀了一部分，不完全可，所以提供给大家的样本也没有预期的这样效果，我这里就不提供了，下次我再遇到，或者有麦粉遇到了，可以提交给我们，感谢。
        也就是说目前已经有新的U盘变种可以穿透这种关闭自动播放，我们来看看他大致有那些文件吧，和Autorun相关的一共有autorun.bat、AUTORUN.INF、AUTORUN.PNF、autorun.reg、autorun.vbs 5个文件。看来以前我们的规则需要改进了。
   原来我们的规则是这样的：
打开Mcafee控制台
    ↓
   访问保护
    ↓
   共享资源和文件夹保护
    ↓
   添加
    ↓
    规则名称
    阻挡病毒U盘媒体传播
    要阻挡的内容
    *
    要阻挡的文件或文件夹
    **\Autorun.INF
    要阻挡的文件操作
   [√]读取文件
   [√]写入文件
   [√]执行文件
   [√]创建新文件
   [    ]删除文件

        如果你熟悉系统应该知道，当然你可以打开资源管理器搜索“autorun”，看看系统是否会有这样带有这样关键字的文件夹和文件（没有中毒的情况下，没有插入U盘和光盘），我们发现系统并没有带这样关键字的文件，所以这里我们可以放心的将这条规则作得更死，如果你对系统不够了解，将规则作得太死，结果会导致蓝屏等后遗症。那么既然知道没有什么大碍，知道我想作这样的增强规则了？？

打开Mcafee控制台
    ↓
   访问保护
    ↓
   共享资源和文件夹保护
    ↓
   添加
    ↓
    规则名称
    阻挡病毒U盘媒体传播（增强0518）
    要阻挡的内容
    *
    要阻挡的文件或文件夹
    \Autorun.*   ←硬盘分区根目录下Autorun.*文件
    要阻挡的文件操作
   [√]读取文件
   [√]写入文件
   [√]执行文件
   [√]创建新文件
   [    ]删除文件

以上规则步骤中绿色为步骤名称，红色为输入内容，蓝色为注释说明

如此如此，这般这般，我们可以更好的保护自己的电脑了。

本文为本站细水原创文章，如需转载请注明出处 McAfee 安全资讯

peaceful20824

弱弱的问一句

怎么看起来他一些设置例如
访问保护
    ↓
   共享资源和文件夹保护
    ↓
   添加                              

看起来和我的8.5的设置不太一样啊。我找不到共享资源和文件夹保护      难道是8.0版的吗？  我就在用户自定义规则那里新建而已了。。。。。。

peaceful20824

我今天设了一个规则，把：禁止在 Windows 文件夹中创建新文件 (.dll)；禁止在 Windows 文件夹中创建新文件 (.exe)；禁止在 System32 文件夹中创建新文件 (.dll)；禁止在 System32 文件夹中创建新文件 (.exe)这4个都设置成禁止写入新文件、禁止创建新文件。
这样操作的话，对病毒入侵应该能起到防御作用吧，就是自己在安装新程序时要记住把那先解除才行安装，请问~~~~：这样的设置合理吗？

yashoo

这样看来邪邪版主的C28规则要改下了。。。。

小邪邪

谢谢分享

hejin2006

谢谢分享，学习了

choco_dove

这条规则没话说了，我们大学打印的地方一插就中标，这下好了，不用每次都格式化了

下一个永远

学习了，谢谢分享经验

zzybwdb_2007

感谢楼主分享~~~~不错的说~~支持原创！！

小邪邪

如果是8.5就没必要了，默认的规则里已经有了