防御病毒 我的瑞星我做主

使用瑞星2009的读者会发现，在最新版本的“工具”集合中加入了一款名为“木马行为防御行为编辑器”的小工具。使用该工具，我们可以自己编写规则来防御木马，并可以把这些规则导出为文件，共享给其他网友。别人在自己的瑞星上也可以导入这些规则，加强杀毒软件的主动防御能力。例如很多病毒都会“注入Explorer.exe进程”，下面就以防御“Explorer.exe进程”为例来看看这个工具的妙用！

第一步：安装瑞星杀毒软件2009版（或瑞星全功能安全软件2009版），升级到最新版本。依次单击“工具检查更新”，更新后即可看到该工具。单击那个绿色的“运行”之后，就可以看到该工具的主界面（见图1）。

第二步：单击“病毒特征”后面的“指定”，选择“病毒特征：弱自复制”。然后单击“添加API”，在“监控对象”里选择“远程线程”，“目标”为“被注入进程－文件名，不包含路径”，操作设置为“包含”，描述设置为：“explorer.exe”（见图2）。

小知识

某个病毒a.exe释放出来usp10.dll，并把它复制到每个带有EXE的文件夹下。这个复制的动作是a.exe操作的，但复制的是usp10.dll，而不是a.exe本身，就叫弱自复制。也就是说，a.exe复制a.exe自己，叫强自复制。

这样，一个简单的“木马行为规则”就定制好了。导入这条规则之后，只要有文件被恶意复制，并且注入“Explorer.exe”中，瑞星就会报警。

木马行为防御功能基于程序实时监控系统，可以处理多种程序动作通知，包括文件操作、注册表操作、进程启动和停止、系统关键API操作，并对这些通知进行处理，最终发现木马攻击行为。“木马行为防御行为编辑器”的可定制项目很多，如果用得好，可以大大加强自己的瑞星杀毒软件智能主动防御的水平。在下期专栏里，我们会对这个工具进行更深入的分析，使网友们可以根据步骤自行定制常见盗号木马、后门程序、U盘病毒等类型病毒的防御规则。(瑞星安全工程师/王占涛)

小提示

我们可以把自己定义的规则上传到瑞星官方的卡卡论坛，经过验证之后，如果瑞星公司认为自定义的规则非常有效，那么会将这些规则升级为瑞星内置的防御规则，规则被瑞星官方采用后，如果访问带毒网站的时候触及这条规则，主动防御的弹出界面将会显示作者名称。