[心得] 有裝ThreatFire的人,請多加一條規則
最近,在大陸流行一個感染型病毒,偽裝成QVOD的安裝檔案。
執行之後,會刪除系統服務的重要dll檔案,並替換成病毒的dll檔案。
ThreatFire 內置的行為庫,無法攔截。
請多加一條規則。
advanced tools -> custom rules settings -> New
-----------------------------------------------------
Rule Name:竄改 系統服務 的 重要dll檔案
Rule Description:竄改 系統服務 的 重要dll檔案
Rule:
When any process
tries to write or delete a file
named
appmgmts.dll
browser.dll
es.dll
framebuf.dll
mspmsnsv.dll
netman.dll
ntmssvc.dll
qmgr.dll
regsvc.dll
schedsvc.dll
ssdpsrv.dll
tapisrv.dll
upnphost.dll
xmlprov.dll
in C:\WINDOWS\system32
except when the source process is in the system process list
or the source process is in the trusted process list
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.114.222.131
→
06/26 00:04, , 1F
06/26 00:04, 1F
→
06/26 00:31, , 2F
06/26 00:31, 2F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
