瑞星卡卡安全论坛

系统环境：
XP SP3（虚拟机）
248MB内存
IE6.0
瑞星版本：21.01.30
瑞星主动防御设置为高。

运行该病毒，监控没有报毒。

主动防御检测到病毒的动作。


修改系统时间。


释放驱动。

瑞星杀毒软件并没有被破坏。但是防火墙就不能幸免了。防火墙的自我保护需要加强！

该病毒尝试修改wuauclt1.exe。

虽然杀毒软件没有被破坏，但是该病毒不断释放驱动等的动作让用户很不爽啊！不断的弹对话框！

勾上“重启前使用相同处理方式”，但重启后还是会弹。而且该病毒的动作还挺多。建议增加“黑名单”解决此类情况。

病毒尝试在各个盘创建autorun


查看历史记录，发现病毒还尝试映像劫持。被拦截了。

该病毒还修改了“显示隐藏文件”，现在无法显示隐藏文件了。瑞星没能拦截该动作。建议加强此防御。


总的来说，瑞星拦截了大部分恶意行为。但是防火墙的自我保护，无限的弹对话框，隐藏文件的显示瑞星不能很好防御。

病毒样本在附件中。密码为：virus


瑞星主动防御及自我保护测试----瑞星VS机器狗
http://bbs.ikaka.com/showtopic-8547744.aspx

瑞星主动防御及自我保护测试----瑞星VS熊猫烧香Ô
http://bbs.ikaka.com/showtopic-8546985.aspx
瑞星主动防御及自我保护测试----瑞星VS灰鸽子
http://bbs.ikaka.com/showtopic-8547991.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

附件: update.rar

msdos？中毒了吧，赶快查杀一下，还有update也要杀毒

本来就是在测试该病毒嘛.....:default3:
09查不出该病毒！病毒库需加强。

重启后，防火墙恢复。
防火墙中显示出病毒创建的进程。防火墙能不能自动报可疑进程呢？

楼主很强大，支持一下
wuauclt、wscript、csript、rundll32都是比较危险的东西，感染病毒通过数字签名检验是无效的（因为只加载了模块而没有修改原有程序），有些病毒甚至可以绕过模块检查，并且用特殊方法隐藏命令行参数，应该对此类加载器严加防守

嗯~~~~~~:default7:

楼主测试一下小猪病毒，看看瑞星的主防能否完美防住！
样本可以在卡饭论坛找到:default6:

您的问题和样本我们已收集，感谢您的支持。

楼主不怕电脑爆了么？:default6:

人家那是在虚拟机里……

若是穿虚拟机的病毒。。。我还是怕怕的。。。:kaka8:

2楼好菜。。。

至于防火墙自己设置下就可以了~找到防火墙的服务后把服务设置为“关闭0分0天后重启”防火墙就算被关闭也会马上自动重新开启的。