组策略、瑞星主动防御的设置与“机器狗”的预防

组策略、瑞星主动防御的设置与“机器狗”的预防

机器狗目前比较流行。中招后杀软难以杀净；手工查杀流程繁琐；专杀效果并不理想（变种较多）。对于这类病毒，预防为主应该是可取的策略。
手头有4只不同的“机器狗”样本，在影子系统中观察了一下其进入系统的规律：
1、病毒程序运行后访问网络，下载病毒文件至IE临时文件夹。
2、IE临时文件夹中的病毒运行后，在“当前用户临时文件夹”中创建病毒文件。创建的病毒文件以下列多见：
LYLOADER.EXE、LYMANGR.DLL、MSDEG32.DLL、tmp*.tmp（其中*代表变化的两个字母或数字）、1.exe、2.exe......等。
3、在系统根目录下创建“随机数字名.bat”若干个；在WINDOWS目录下创建.exe病毒文件；在系统目录下创建下列病毒文件：
LYLOADER.EXE
LYMANGR.DLL
MSDEG32.DLL
IGB_*_变动的数字.exe若干个（*代表变动的字母）
IGB_*_变动的数字.dll若干个（*代表变动的字母）
随机字母.cfg若干个
随机字母.dll若干个
msepion.sys
4、在系统驱动目录下创建下列文件：
msaclue.sys
msacpe.sys
phy.sys
5、有的变种还替换系统文件userinit.exe或explorer.exe。

根据上述规律，在XP专业版的“组策略”之“软件限制策略”下，设置几条规则，禁止病毒主要程序运行。再在瑞星2008的“主动防御”模块中添加几条规则，保护“组策略”之“软件限制策略”下的规则；禁止mmc.exe和cmd.exe运行，即可完全防住这4个变种。至于其它变种能否防住，我不清楚。如果哪位手头有样本，欢迎打包、加密（密码：123）发到：baohelin@yahoo.com.cn，以便观察。
用瑞星主防禁止mmc.exe，目的是防止病毒调用此程序删除用户已经设置好的“软件限制策略”规则；用瑞星主防禁止cmd.exe，目的是防止病毒调用cmd.exe建立病毒文件/感染正常程序等。
用瑞星主防禁止mmc.exe、cmd.exe，可能妨碍用户自己使用这两个程序。作为一种变通办法，可以这样解决：需要使用这两个程序时，先将瑞星主防相应规则前的“勾”去掉、点击“确定”、“应用”。用完mmc.exe和cmd.exe后，在将那两个勾选上。
理论上，瑞星2008的主动防御也可以完成前述“软件限制策略”的防御功能。但实际上，到目前为止，瑞星2008的“主动防御规则”的设置中还不支持?或*等通配符的使用，从而导致无法针对随机（或变动）文件名的病毒文件设置禁止规则。