Trojan.VB.wzs 바이러스
Tianji.com(/)에 접속하여 'Trojan Swordsman 2007'을 검색한 후 다운로드하여 설치하고 안전 모드에 진입하여 종료하세요.
첨부파일: 트로이목마, 트로이목마. 반드시 하나가 있어야 합니다————————
첨부: Trojan.VB란 무엇입니까? 계정훔치기 트로이 목마 자체는 부팅 시 IEXPLORE.EXE 브라우저 프로세스를 시작하고 보호를 위해 임시 캐시 파일에 하이재킹된 난수 실행 파일을 미러링하는 특성을 가지고 있습니다.
IEXPLORE.EXE 및 SVCH0ST.EXE는 시스템의 system32에 자신을 복사하며 데몬 삽입 프로세스를 가지므로 안전 모드에서도 삭제할 수 없습니다.
왜 이 바이러스가 트로이목마가 최신이라고 말하는 걸까요? 어제 클라이언트에 바이러스 백신 작업을 하러 갔는데, 난징 우체국의 모든 부서가 바이러스에 감염됐고, 해당 부서의 컴퓨터는 인터넷에 연결되지 않았으며, 모두 USB 플래시 드라이브를 통해 확산되었습니다. 당시 Autorun.exe 도구를 이용해 정리하고 안전모드로 다시 시작해보니 Trojan.VB 변종이 삭제되지 않는 것을 발견했습니다. 데몬 프로세스나 드라이버에 의해 시작된 숨겨진 프로세스가 있었던 것 같습니다. . 이 부서의 기계는 모두 나무로 만든 광학 드라이브가 달린 Dell 브랜드 기계라는 사실에 우울했습니다. 그렇지 않으면 PE 시스템을 사용하여 들어가면 Dos를 사용하지 않겠습니까? 경험에 따르면 이러한 바이러스는 Dos에서는 전혀 찾을 수 없습니다. 컴퓨터는 바이러스를 정확하게 보고할 수 있지만 격리할 수 없는 Trend OfficeScan 7.0을 사용합니다. 콘솔을 보면 생성 차단 기능만 있고 실행 기능은 없습니다. 현재 모든 바이러스 백신 소프트웨어는 Mcafee Enterprise 버전만 사용하는 것 같습니다. 시스템 구성이 더 좋기 때문에 Mcafee는 바이러스 데이터베이스를 업그레이드하지 않고 직접 Mcafee VirusScan Enterprise 8.0i를 설치했습니다. 왜냐하면 Mcafee는 이러한 바이러스를 제어하기 위해 바이러스 데이터베이스를 업그레이드할 필요가 없기 때문입니다. 바이러스 트로이 목마.
좋아, 정책을 구현하는 방법에 대해 이야기해 보겠습니다.
Mcafee 콘솔을 엽니다.
↓
액세스 보호
↓
***공유 리소스 및 폴더 보호
↓
추가
↓
규칙 이름
바이러스 U 디스크 미디어 전송 차단
차단할 콘텐츠
*
차단할 파일 또는 폴더
**Autorun.INF
차단할 파일 작업
[√]파일 읽기
[√]파일 쓰기
[√]파일 실행
[√]새 파일 생성
[ ]파일 삭제
2차 정책 추가
규칙 이름
바이러스 차단 IEXPLORE.EXE 생성 및 실행
차단할 콘텐츠
*
차단할 파일 또는 폴더
windirsystem32IEXPLORE.EXE
차단할 파일 작업
[√]파일 읽기
[√]파일 쓰기
[√]파일 실행
[√]새 파일 생성
[ ]파일 삭제
3차 정책 추가
p>
규칙 이름
SVCH0ST.EXE 바이러스 생성 및 실행을 차단합니다(여기서 SVCH0ST.EXE에서 CH 다음의 숫자는 영어 o 대신 0입니다)
차단된 콘텐츠
*
차단할 파일 또는 폴더
windirsystem32SVCH0ST.EXE
차단할 파일 작업
[√]파일 읽기
[√]파일 쓰기
[√]파일 실행
[√]새 파일 만들기
[ ]파일 삭제
위 전략 중 녹색 글꼴은 단계이며, 빨간색 글꼴은 입력하거나 확인해야 하는 내용입니다.
이 세 가지 전략을 완료한 후 다시 시작하세요. 컴퓨터에 접속해서 바탕화면에 들어가면 Post-Trend Antivirus가 시작되면 경고창이 뜨고 "Trojan.VB"가 발견됩니다. 트랜드가 어떤 변종을 썼는지는 기억나지 않지만 뒤에 "격리 성공"이라는 문구가 보입니다. 맥카페는 업그레이드 하지 않고 트렌드를 업그레이드한 것 같습니다. 안티 바이러스 벽의 두 칼은 꽤 좋습니다.
회사에 복귀한 후 바이러스 샘플을 Virustotal에 제출하면 신고 결과가 다음과 같이 반환됩니다. 참고로
위 전략에서 녹색 글꼴은 단계입니다. , 빨간색 글꼴은 선택한 콘텐츠를 입력하거나 연결해야 하는 단계입니다.
이 세 가지 전략을 완료한 후 컴퓨터를 다시 시작하면 Trend Antivirus가 시작되면 경고가 나타납니다. 그리고 "Trojan.VB"가 발견되었습니다. Trend가 어떤 변종을 썼는지 기억이 나지 않지만 나중에 "Isolation Success"를 보면 McCafé가 안티 바이러스 벽의 두 칼을 결합하는 데 꽤 능숙한 것 같습니다. 업그레이드 없이 업그레이드하는 추세.
Little Red Umbrella도 반영되지 않은 것을 볼 수 있으며, Avast도 무관심한 편입니다. 이 변종이 최신이어야 하고 Trend Antivirus가 꽤 좋은 것 같습니다. 물론 저희 McCafé도 발견되지 않았습니다. 너무 많은 안티 바이러스 엔진을 기반으로 하여 소수의 안티 바이러스 소프트웨어만이 이를 바이러스로 식별할 수 있습니다. 따라서 조기 경고가 필요합니다. 위의 전략을 먼저 준비하십시오. 바이러스를 탐지하고 죽이는 것보다 항상 바이러스로부터 방어하는 것이 좋습니다.
동일한 전략을 사용하여 Trojan.VB 변종 바이러스를 예방할 수 있습니다.
USB 플래시 드라이브를 통해 바이러스를 퍼뜨리는 것은 꽤 무서운 일입니다. 유명한 Panda Burning Incense와 Weijin에는 이러한 확산 기능이 있습니다. 이 전략을 꼭 추가하세요(이미 추가했다면 추가할 필요가 없습니다)
Mcafee Control Taiwan 열기
↓
액세스 보호
↓
***공유 리소스 및 폴더 보호
↓
추가
↓
규칙 이름
바이러스 U 디스크 미디어 전송 차단
차단할 콘텐츠
*
차단할 파일 또는 폴더
**Autorun.INF
차단할 파일 작업 차단됨
[√]파일 읽기
[√]파일 쓰기
[√]파일 실행
[√]새 파일 만들기
[ ]파일 삭제
Mcafee VirusScan Enterprise 8.5i의 작동 단계는 다릅니다. Mcafee Enterprise Edition의 작동에 대해 잘 모르시는 분들을 위해 적어보겠습니다. 참고용으로 8.5i 버전의 단계:
Mcafee 콘솔 열기
↓
액세스 보호
↓
사용자 정의 규칙
↓
새
↓
파일/폴더 차단 규칙
↓
규칙명
바이러스 U 디스크 미디어 전송 차단
포함할 프로세스
*
제외할 프로세스
차단할 파일 또는 폴더
**Autorun.INF
금지할 파일 작업
[√ ] 파일에 대한 읽기 액세스
[√]파일에 대한 쓰기 액세스
[√]실행 중인 파일
[√]새 파일 생성 중
[ ]삭제되는 파일
두 번째 정책 추가
규칙 이름
IEXPLORE.EXE 바이러스 생성 및 실행 차단
포함할 프로세스
*
제외할 프로세스
차단할 파일 또는 폴더
windirsystem32IEXPLORE.EXE
금지되는 파일 작업
[√] 파일에 대한 읽기 권한
[√] 파일에 대한 쓰기 권한
[√] 현재 실행됨 파일
[√]새 파일 생성 중
[ ]삭제 중인 파일
3차 정책 추가
규칙 이름
SVCH0ST.EXE 바이러스의 생성 및 실행을 차단합니다(여기서 SVCH0ST.EXE에서 CH 다음의 CH는 영어 o 대신 0입니다)
포함할 프로세스
*
제외할 프로세스
차단할 파일 또는 폴더
windirsystem32SVCH0ST.EXE
차단할 파일 작업
[√] 파일에 대한 읽기 액세스
[√] 파일에 대한 쓰기 액세스
[√] 실행 중인 파일
[√]새 파일 생성 중 생성됨
[ ]파일 삭제 중