病毒会直接连接搜集来的邮件服务器,而该规则的作用则是阻挡所有进程通过SMTP连接到其他的邮件服务器。通过阻挡这种通信,即便电脑感染了新的邮件蠕虫,但是也无法通过email进一步传播。除非是已添加到排除项中的邮件客户端,其他通过SMTP 端口(25和587)试图发送email的行为都会被阻挡。
风险:由于大量第三方邮件软件的存在,该规则的排除列表必然是不完整的。因此需要用户手动将所用邮件软件的进程名添加到排除项中,否则软件将无法使用。
规则名称:禁止 IRC 通信 要包含的进程:* 要排除的进程:无 要阻止的端口:6666-6669 方向:入站 出站 ---------------------------
互联网中继聊天(IRC)是首选的通讯方式由牧民和僵尸网络远程访问木马用来控制僵尸网络(一组脚本或一个独立的程序,连接到IRC)。体育馆允许攻击者控制后面的网络地址转换(NAT)坐在感染的机器,该机器人可配置为连接返回到命令和控制服务器在任何端口上侦听。 意图:许多后门木马连接到IRC服务器并接收来自其作者的命令。例如,http://vil.nai.com/vil/content/v_98963.htm。通过阻止这种沟通,即使系统成为一个新的木马感染,将无法与人沟通或控制它的实体。
风险:如果IRC是用在一个公司,或者如果这些端口被用于其他目的,那么该规则将阻止他们,直到进程使用的端口被添加到排除列表。
规则名称:禁止使用 tftp.exe 要包含的进程:*
要排除的进程:wuauclt.exe
要阻止的文件或文件夹名:**\\tftp.exe 要禁止的文件操作:读取、执行 ---------------------------------
普通文件传输协议(TFTP)提供用户身份验证,没有基本的文件传输。许多木马使用TFTP,因为它是一个基本方法下载额外的代码。启用此规则将阻止除Windows更新使用它来下载其他恶意代码到系统任何东西。
意图:通过利用脆弱的应用缓冲区溢出散播一些病毒。代码注入进程,然后运行。此代码下载从刚才的计算机病毒注入下载代码的其余部分。通常,下载代码使用Windows的TFTP客户端(tftp.exe)执行下载。因此,即使同一个系统成为一种新的病毒感染的一部分,它不能成为完全感染,因为它不能下载代码的其余部分。
《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件 要包含的进程:svchost.exe 要阻止的文件或文件夹名:** 要禁止的文件操作:执行 ---------------------------------
意图:Svchost.exe是一个系统进程,属于微软Windows操作系统,它处理从DLL执行的过程。这项计划是非常重要的稳定和安全的计算机上运行,而不应被终止。因为这是Windows的
重要组成部分,攻击者尝试使用此过程来注册自己的。DLL中不属于Windows的一部分。这条规则使得Svchost.exe只加载Windows服务.DLL文件。
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:*
要排除的进程:explorer.exe, frameworkservice.exe, logonui.exe, rasphone.exe, svchost.exe 要阻止的文件或文件夹名:**/rasphone.pbk 要禁止的文件操作:读取、创建、写入、删除 ------------------------------------------
意图:此规则无法读取该用户的联系人,这是在将Rasphone.pbk文件存储在用户的配置文件的目录清单恶意代码。
规则名称:禁止更改所有文件扩展名的注册 要包含的进程:*
要排除的进程:explorer.exe
要保护的注册表项目或注册表值:HKULM/Software/Classes/.*/** 要保护的注册表项或注册表值:项 要阻止的注册表操作:写入 ------------------------------
意图:这是一个严格的版本“反病毒标准保护:防止其他可执行的EXE和扩展劫持。”规则。而不是只保护的。EXE,。英美烟草公司等,它可以保护HKEY_CLASSES_ROOT下的所有扩展的选项。
系统运行微软Windows操作系统的使用三或四个字母的标识符添加到文件后一个时期的名称(.)来识别文件类型。当一个文件被打开时,文件扩展名来决定应该用什么程序打开该文件,或者如果该文件是一个应该运行的程序。恶意软件可以修改成这样的文件扩展名注册,该恶意代码的执行是沉默。此规则阻止通过修改的修改。txt的外壳扩展和执行每次打开。txt文件的外壳扩展的恶意软件。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。 风险:如果系统管理员启用此规则,他们将需要确保禁用规则的有效应用程序安装时会修改注册表中的文件扩展名注册。
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击 要包含的进程:*
要排除的进程:/system32/taskhost.exe, /syswow64/taskhost.exe, cleanup.exe, cmdagent.exe, explorer.exe,
framepkg.exe,
framepkg_upd.exe,
frameworks*,
frminst.exe,
iexplore.exe,
mcscancheck.exe, mcscript*, mctray.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, rundll32.exe, setlicense.exe, sidebar.exe, udaterui.exe, updaterui.exe 要阻止的文件或文件夹名:**\\content.ie5\\** 要禁止的文件操作:读取 --------------------------------------
意图:有些病毒通过Internet Explorer查找电子邮件地址和网站密码缓存。除非这条规则可以防止访问Internet Explorer被IE浏览器缓存任何东西。
风险:任何进程使用WinInet库或主机的Internet Explorer在一个窗口可以访问缓存控制,因此,您可能需要添加此规则的过程中,如果已启用。
《防病毒爆发控制》
规则名称:将所有共享项设为只读 要包含的进程:system:remote 要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件操作:创建、写入、删除 ---------------------------------------
意图:通过复制自己要打开网络共享或公开股份通过感染文件,例如,http://vil.nai.com/vil/content/v_99209.htm,散布了许多病毒。虽然股票可以通过访问控制列表(ACL),上(加元,ð $,$管理等)管理股ACL保护不能被编辑和读/写管理员。如果管理员的系统受到感染,即感染可通过网络迅速传播。的VSE的份额阻塞不会区别对待管理员,所有的写访问被阻止。如果有一个使股份只读政策,此规则强化了关闭管理共享这一政策。 风险:这是一个非常强大的规则。这是一个好主意,以评估该系统将使用此规则的作用。在典型环境中,可能是这个规则将被用于工作站和服务器,适合不适合。该规则是为了阻止病毒,这将严重限制的计算机或网络的使用,这是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作,日常使用,这些规则也可以影响到他们的管理方式。如果电脑是由他们推动档案管理,此规则将阻止更新或补丁被安装。 McAfee的ePO的管理职能将不会受到影响,如果这条规则启用。
规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 ) 要包含的进程:system:remote 要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件操作:读取、执行、创建、写入、删除 ------------------------------------------------
意图:此规则是一个共享时使用的跳频蠕虫被称为是在野外,并积极推广。禁止在文件共享环境中,这些规则可以执行这一政策,因为它会阻止写访问权,或全部从远程计算机到一个受保护的访问。
风险:这是一个非常强大的规则。制度下的角色需要被评估之前启用规则。在典型环境中,可能是这个规则将被用于工作站和服务器,适合不适合。其目的是阻止病毒,将严重限制了计算机或网络使用,而且它是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作,日常使用,这些规则也可以影响他们的管理方式。如果电脑是由他们推动档案管理,此规则将阻止更新或补丁被安装。