今天,再次玩儿昨天讨论过的那个“新pagefile.pif”,发现了另外一些有趣现象。现罗列如下,供大家参考。
关闭其它所有安全软件,只留下瑞星杀软。
运行这个pagefile.pif样本,病毒感染系统顺利完成。重启。
重启后,瑞星照样正常运行,且不报毒。
设置瑞星“主动防御”工具中的“程序启动控制”,分别为4个病毒主体程序各设置一条启动控制规则(图1)。每条规则的详细的设置例子见(图2)。
为确保下次重启后病毒不致活动,再在瑞星“主动防御”中针对4个病毒主体程序设置“应用程序访问规则”。每条规则的详细设置的例子见图3。针对这4个病毒程序都设置这样的“应用程序访问规则”(图4)。
设置完成后,重启系统。
重启后,按图索骥,找到病毒程序,一一删除即可(图5)。有趣的是,此时,当我通过资源管理器找到这些病毒程序时,瑞星开始报毒了!
这说明:瑞星20.23.42病毒库已经可以识别这个病毒释放的某些主体文件;但仍不能识别pagefile.pif这个样本。
至于瑞星20.23.42能否识别被感染的rar包,我没法观测。因为在我的系统环境下,虽然侦测到这个病毒有感染rar包的动作,但实际上感染过程并未成功(病毒动过的那些rar包中的所有程序的MD5依然没变)。
图1
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)附件:
15584720071221224658.jpg 