此类破坏性较大的蠕虫,正是考验HIPS防护能力的最好试验品。而要保护重要文件不被破坏,HIPS的FD功能显得至关重要。暂时没有FD的SSM面对这类蠕虫显然会力不从心。
SSM只有一次拦截机会,即黑炸弹运行前的拦截。一旦黑炸弹成功运行,SSM对于黑炸弹的狂轰烂炸根本无能无力。其实只要一看到黑炸弹的程序图标就应该果断阻止,但是对于没经验的朋友来说,还是很有可能放行。
为了测试SSM的防护效果,对上述动作放行,然后打开文件夹就会看到很多黑色炸弹。SSM显然无法阻止运行后的黑炸弹破坏文件。
再来看看集3D于一身的EQ如何对付黑炸弹。
程序启动
放行,黑炸弹企图开始工作
试图在%SYSTEMROOT%SYSTEM32中释放interview.exe并创建服务,拦截之
在各盘符下生成autorun.inf,继续拦截
之后的一大堆拦截动作请看附件中的EQ日志。测试完毕后查看文件,完好无损。EQ成功抵挡住已经运行的黑炸弹。
为了有效防止此类病毒的破坏动作,必须对HIPS的FD进行有效的规则设置。就拿此次测试中的EQ防黑炸弹来说,关键是防止在各路径修改或创建文件这些动作,特别是系统关键目录。
禁止任何创建或修改可执行文件的动作
禁止在系统安装分区创建或修改任何文件
