**本篇文章只有部分隨身碟病毒的感染預防,並沒有任何病毒的清除方式**
**重點在防毒軟體無法阻擋的隨身碟病毒的感染預防措施經驗分享**
近一年來單位內一直都偶有電腦因使用者使用隨身碟而感染病毒,
通常這些病毒對內部網路似乎還看不到即時的破壞性,
只是很討厭的是這些病毒大部份一旦感染到個人電腦後,
都需要進行手動移除,
防毒軟體可以偵測的到,
但是一直都無法有效預防!!
(病毒碼都更新且可以偵測到了但還是會感染,令人百思不解??)
後來無意發現一個賤招,
使用一段時間以來還未看到遭已知的隨身碟特定病毒的感染情形出現,
在此提出分享,
若各位實測發現還是有問題的,
還不吝提出討論或糾正,謝謝!!
原理:
透過 AD 設定電腦的開機指令碼(不是使用者的ㄡ,這樣才能在每部加入網域的PC自動執行),
在所有已加入 Domain 的電腦上建立一些與病毒檔案相同名稱的目錄,
使病毒要感染到電腦時無法建立自己的病毒檔,
間接達到防毒的目的!!
限制:
1 沒有加入網域的電腦需要手動執行才有用,
2 執行前電腦本身需確定沒有中毒!!!(本程式不會幫你殺毒,也不會幫您檢查有沒有毒!!)
3 新病毒產生的檔案若不在免疫名單內則無效,
4 若新病毒功能增強,在產生病毒檔案前會先將免疫的目錄刪除,
則免疫功能失效(好像還沒發現這種病毒)!
5 windows 98, winnt , windows 2000 不適用!
討厭的地方:
1 目錄越來越多,雖有隱藏,
但我自己的環境是連隱藏都有顯示,
有時覺得這些目錄還真礙眼,
(其實也還好,若有效的維護免疫清單,總數應可維持在20個以下!)
免疫名單的產生: (免疫病毒檔案總數:19 )
1 都是單位內防毒主控端發現有用戶端感染但無法被防毒軟體自動清除的病毒,
而且病毒檔案的產生是在磁碟機 C:\Program Files 和 C:\Windows 目錄下,
2 其他位置病毒檔的產生很零散,
用此方法去做效益不大,
故不予考慮!
3 病毒可以被防毒軟體(我們單位用的是OfficeScan 7.3版)發現而且可以自動清除乾淨的不列入免疫名單
4 清單收集日期區間:2006/12/06~2007/05/15
單位內 OfficeScan 用戶端總數:341
5 這些病毒檔大多數都是透過隨身碟感染的病毒,
少部分透過其他方式感染.
6 歡迎其他網友若單位內有發現防毒軟體有發現但是無法自動清除的病毒檔案,
最好是半年內發現的,而且位置都在 c:\Windows 以及 C:\Program Files 下面,
一起提出來與大家分享,謝謝!
提出的時候請註明防毒軟體版本,發現日期,發現的病毒名稱及完整的病毒檔案檔名及路徑位置,謝謝!
方法:
1 在AD主機的 C:\WINDOWS\SYSVOL\sysvol\DOMAIN\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup
目錄下建立一個檔名為 immunize.bat 的批次檔
2 在群組原則管理裡 Default Domain Policy
--> 電腦設定
--> Windows 設定
--> 指令碼
--> 啟動
下將 immunize.bat 加進去
3 immunize.bat 內容:
代碼: |
@echo off rem DATE_first_found Virus_name_on_OfficeScan_Console mkdir C:\WINDOWS\SYSTEM32\Zloguwzp.D1L attrib C:\WINDOWS\SYSTEM32\Zloguwzp.D1L +h +r +s rem 2007/06/06 BKDR_PCCLIENT.YW mkdir C:\WINDOWS\SYSTEM32\OD5MEDIA.DLL attrib C:\WINDOWS\SYSTEM32\OD5MEDIA.DLL +h +r +s rem 2007/06/05 TSPY_MARAN.NM rem 病毒清除後無法上網,請下載 http://www.cexx.org/lspfix.zip 進行 Winsock 之修復 rem 或下指令 netsh winsock reset 修復網路功能 mkdir C:\WINDOWS\SYSTEM32\ODMEDIA7.DLL attrib C:\WINDOWS\SYSTEM32\ODMEDIA7.DLL +h +r +s rem 2007/06/04 TSPY_MARAN.TV rem 病毒清除後無法上網,請下載 http://www.cexx.org/lspfix.zip 進行 Winsock 之修復 rem 或下指令 netsh winsock reset 修復網路功能 mkdir C:\WINDOWS\SYSTEM32\winscok.dll attrib C:\WINDOWS\SYSTEM32\winscok.dll +h +r +s rem 2007/05/30 TSPY_QQPASS.WE mkdir C:\WINDOWS\SYSTEM32\OD10MEDIA.DLL attrib C:\WINDOWS\SYSTEM32\OD10MEDIA.DLL +h +r +s rem 2007/05/26 TSPY_MARAN.MT rem 病毒清除後無法上網,請下載 http://www.cexx.org/lspfix.zip 進行 Winsock 之修復 rem 或下指令 netsh winsock reset 修復網路功能 mkdir C:\WINDOWS\SYSTEM32\ODMEDIA2.DLL attrib C:\WINDOWS\SYSTEM32\ODMEDIA2.DLL +h +r +s rem 2007/05/24 TSPY_MARAN.DY rem 病毒清除後無法上網,請下載 http://www.cexx.org/lspfix.zip 進行 Winsock 之修復 rem 或下指令 netsh winsock reset 修復網路功能 mkdir C:\WINDOWS\SYSTEM32\OD6MEDIA.DLL attrib C:\WINDOWS\SYSTEM32\OD6MEDIA.DLL +h +r +s rem 2007/05/24 TSPY_MARAN.DY rem 病毒清除後無法上網,請下載 http://www.cexx.org/lspfix.zip 進行 Winsock 之修復 rem 或下指令 netsh winsock reset 修復網路功能 mkdir C:\WINDOWS\SYSTEM32\INETSRV.EXE attrib C:\WINDOWS\SYSTEM32\INETSRV.EXE +h +r +s rem 2007/05/18 WORM_Generic mkdir C:\WINDOWS\SYSTEM32\OD7MEDIA.DLL attrib C:\WINDOWS\SYSTEM32\OD7MEDIA.DLL +h +r +s rem 2007/5/14 TSPY_MARAN.PA mkdir C:\WINDOWS\AVP.EXE attrib C:\WINDOWS\AVP.EXE +h +r +s rem 2007/5/10 TSPY_MARAN.IU TSPY_MARAN.NV TSPY_MARAN.ME TSPY_MARAN.GA mkdir C:\WINDOWS\G_Server2006.DLL attrib C:\WINDOWS\G_Server2006.DLL rem 2007/5/7 BKDR_HUPIGON.GEN mkdir C:\WINDOWS\G_Server2006Key.DLL attrib C:\WINDOWS\G_Server2006Key.DLL +h +r +s rem 2007/4/27 BKDR_HUPIGON.AE mkdir C:\WINDOWS\system32\Rasmon.DLL attrib C:\WINDOWS\system32\Rasmon.DLL +h +r +s rem 2007/3/23 TROJ_Generic mkdir C:\WINDOWS\system32\Driveinfo.exe attrib C:\WINDOWS\system32\Driveinfo.exe +h +r +s rem 2007/3/21 TROJ_DELF.DWF mkdir C:\WINDOWS\system32\usbmons.dll attrib C:\WINDOWS\system32\usbmons.dll +h +r +s rem 2007/1/26 TROJ_AGENT.SAO mkdir C:\WINDOWS\RUNDLL32.EXE attrib C:\WINDOWS\RUNDLL32.EXE +h +r +s rem 2007/1/24 TSPY_LINEAGE.DXV mkdir C:\WINDOWS\system32\Zloguwzp.dll attrib C:\WINDOWS\system32\Zloguwzp.dll +h +r +s rem 2006/12/29 BKDR_PCCLIENT.RY mkdir C:\WINDOWS\SYSTEM\SVCHOST.EXE attrib C:\WINDOWS\SYSTEM\SVCHOST.EXE +h +r +s rem 2006/12/27 BKDR_AGENT.FYS WORM_AGENT.LLV mkdir C:\WINDOWS\system32\KAV.EXE attrib C:\WINDOWS\system32\KAV.EXE +h +r +s rem 2006/12/15 TROJ_BHO.CM rem 2007/06/06 移除(超過半年!) rem mkdir C:\WINDOWS\SYSTEM32\PDLL.DLL rem attrib C:\WINDOWS\SYSTEM32\PDLL.DLL +h +r +s rem 2006/12/6 TSPY_LINEAGE.FNZ TSPY_LINEAGE.GBZ TSPY_LINEAGE.DPV Possible_Infostl TSPY_GAMANIA.DS TSPY_LINEAGE.CSS HKTL_OBFUSCAT.HV rem 2007/06/06 移除(超過半年!) rem mkdir "C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\SVCHOST.EXE" rem attrib "C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\SVCHOST.EXE" +h +r +s rem 2006/12/6 TSPY_LINEAGE.FNZ TSPY_LINEAGE.DUT TSPY_LINEAGE.BMP TSPY_LINEAGE.GBZ TSPY_LINEAGE.DPV TSPY_AGENT.QAV TSPY_MAGANIA.MNTSPY_LINEAGE.FCC TSPY_LINEAGE.EFO |
附註:
1 免疫清單其實有的不是透過隨身碟感染的病毒,
但應有相同的免疫效果!
2 會用此方法實在出於無奈,使用者習慣不好,防毒軟體無能...
治標不治本,只是一時之權宜措施!
本文轉貼至資安論壇
沒有留言:
張貼留言