瑞星卡卡安全论坛
panchengwei - 2012-3-11 14:32:00
W7 64位家庭普通版
IE 9
RAV 24.00.02.71
RFW 24.00.04.08
样本危险,请不要运行
样本来源于邮件
由于误操作,导致了样本在W7 64位系统下运行了
样本先关闭了“操作中心”,无法在启动
访问网络,RFW提示拦截,RFW设置断网
打开“任务管理器”结束了样本的某进程
若干秒后RAV和RFW托盘全退出,“任务管理器”在打开后会立刻被强制关闭
瑞星进程从后台消失,
光猫断电断网,结果10M带宽直接导致样本已经完成下载工作
启动了某程序,并进行了系统扫描,英语界面,提示有若干木马病毒,提示是否清除
选“是”会提示购买软件
重启系统,登录,系统提示启用临时用户配置文件,RAV和RFW启动,断网全盘扫描,显示F盘有6-8枚病毒,但是清除失败
病毒文件无法定位,文件路径为乱码
无奈,只得将电脑恢复至出厂状态,
截图丢失、日志丢失
全程监控没有报毒
用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)附件:
mypic.zip
dong0022 - 2012-3-11 15:15:00
64位无主防,所以特征没入库就肯定挂了,不过能在64位系统运行的病毒也不多,中奖了
紫水晶888 - 2012-3-11 15:37:00
此类病毒32位也有,而且一年之前就有,瑞星到目前没有防住实在不应该。
dong0022 - 2012-3-11 15:56:00
因为瑞星在64位系统中没有主动防御,所以不拦截不奇怪。
至于特征为何不报,如果按您说的是去年的病毒个人感觉应该是云端不是完整病毒库。下载后被360下载保镖咔嚓了,瑞星无反应,所以说瑞星在入口点防御阶段就落后了。
DoctorLc - 2012-3-11 16:08:00
查杀设置不是有一项“仅扫描流行病毒”吗?如果勾选了这个貌似是仅查杀一年内出现的病毒。64位下的瑞星,没有木马防御,太脆弱了。。。
紫水晶888 - 2012-3-11 16:16:00
这个样本可以在32位运行,并且是过主防的
紫水晶888 - 2012-3-11 16:54:00
附件: report_133bc84b33b6308a4d9e0bf3d3453c434.rar (2012-3-11 16:54:50, 293.96 K)
该附件被下载次数 315
这是此样本的分析报告,请工程师告知为什么木马行为防御无法拦截,何时能够解决此问题?
剑帝莱恩哈特 - 2012-3-11 18:20:00
下了,金山报毒
panchengwei - 2012-3-11 18:55:00
报毒只是一方面,防御未知病毒和木马才是关键,首先就是确保瑞星的进程的安全
dong0022 - 2012-3-11 19:01:00
2011版主防也过吗?2012版木马防御没有强度调节也没有系统加固,除非触发高规则,否则不会拦截的。
解决时间?锁屏病毒到现在都无法完美拦截,金山的K+都能拦了:kaka6:
紫水晶888 - 2012-3-11 20:17:00
是的,而且11会被完全干掉,而12自保加强了,没有被干掉,这点值得欣慰
瑞星工程师12 - 2012-3-12 13:47:00
样本已收集反馈。感谢您参与公测活动!
瑞星工程师12 - 2012-3-12 16:31:00
本地RAV 24.00.02.71 测试样本已可以查杀。感谢您参与公测活动!
panchengwei - 2012-3-12 17:43:00
24.00.02.71第一次下载测试(右键另存为)监控没有显示,右键查杀成功。
第二、三、四次直接点击链接下载监控有显示。
第五次右键另存为监控有显示。
后面有测了几次,都没有复现第一次的监控问题。
结论,64位W7瑞星的监控驱动有小概率不工作,需要再观察
日志3月12日的第一条不是监控,而是查杀,这就是我描述的“64位W7瑞星的监控驱动有小概率不工作”
附件:
log.rar
瑞星工程师12 - 2012-3-13 9:39:00
问题已收集反馈。感谢您参与公测活动!
瑞星工程师12 - 2012-3-13 10:45:00
问题无法复现,需远程为您处理,已联系工程师为您远程。感谢您参与公测活动!
panchengwei - 2012-3-14 8:22:00
有现场,开机等
24.00.02.76
现场情况有变化,右键查杀样本竟然不报毒了
由此判断现场构成的原因是被判断成安全文件了
1楼样本包在桌面放了2小时了,刚才右键查杀尽然不报毒
附件有日志
附件:
log.rar
瑞星工程师12 - 2012-3-14 10:28:00
问题已补充反馈。感谢您参与公测活动!
panchengwei - 2012-3-14 18:45:00
24.00.02.78不报毒
瑞星工程师12 - 2012-3-15 10:49:00
远程已完毕,正在处理中。感谢您参与公测活动!
panchengwei - 2012-3-16 8:14:00
14楼监控小概率不工作问题24.00.02.82存在,待19楼问题修复后再判断是否复现,以便确定是否是程序造成的或者是云异常造成的
下载后没有触发监控,解压时也没有触发监控,右键可以查杀
瑞星工程师12 - 2012-3-16 9:55:00
已反馈。感谢您参与公测活动!
panchengwei - 2012-3-22 8:52:00
24.00.02.89复测问题依然存在
瑞星工程师12 - 2012-3-22 9:44:00
已联系工程师再次为您远程查看。感谢您参与公测活动!
panchengwei - 2012-3-22 11:31:00
远程完毕
panchengwei - 2012-3-23 22:46:00
24.00.02.92
我又重新测试了几十次,似乎1楼的样本是最容易诱发监控小概率不工作的
我不知道这个版本的RAV是否有修正过,我这边诱发的概率低很多,这个问题我希望在远程上予以优先,一旦构成现场尽可能及时连线。
panchengwei - 2012-3-23 23:00:00
原帖由 panchengwei 于 2012-3-23 22:46:00 发表
24.00.02.92
我又重新测试了几十次,似乎1楼的样本是最容易诱发监控小概率不工作的
我不知道这个版本的RAV是否有修正过,我这边诱发的概率低很多,这个问题我希望在远程上予以优先,一旦构成现场尽可能及时连线。
必经监控不过关的话其他都免谈了
通过我几十次的测试,有一点倒是确认了
小岛测77——杀毒日志路径乱码诱因是压缩包。
panchengwei - 2012-3-23 23:13:00
原帖由 panchengwei 于 2012-3-23 22:46:00 发表
24.00.02.92
我又重新测试了几十次,似乎1楼的样本是最容易诱发监控小概率不工作的
我不知道这个版本的RAV是否有修正过,我这边诱发的概率低很多,这个问题我希望在远程上予以优先,一旦构成现场尽可能及时连线。
必经监控不过关的话其他都免谈了
我发现使用QQ管家有可能导致监控问题,我要再观察一下,做进一步确认
panchengwei - 2012-3-25 19:54:00
原帖由 瑞星工程师12 于 2012-3-22 9:44:00 发表
已联系工程师再次为您远程查看。感谢您参与公测活动!
周日诱发,没有按照原来的习惯使用QQ管家的一些特定的功能,直接在论坛下载了1楼的样本。
从日志可以看出,开机后执行了一次手动升级,无新版本,监控从CMD判断驱动都启动了,图中红色区域是右键和迅雷下载的样本,监控没有监测到
此流程的诱发成功率需再观察几次
周六早晨测试过一次,流程的一处明显不同之处是手动升级,且有新版本并升级成功
附件:
QQ截图20120325194147.png 附件:
QQ截图20120325194653.png
panchengwei - 2012-3-26 8:13:00
今晨开机,没有升级操作,验证了监控处于可提供现场的状态。目前只需下载
http://bbs.ikaka.com/showtopic-9164187.aspx贴内样本即可触发监控工作,这是很神奇的,且这个操作修复监控的概率很高,因为有很多次我就是这样破坏现场的:kaka6:。目前我升级查询过了,没有升级,没有破坏现场。确定一点,此现象一旦构成,如保护得当,重启系统也是能复现的。下一步进行升级确认,如今天RAV有新升级,则在升级前和升级后分别测试,逐步摸透现场出现后的保护流程。因为出现现场有概率问题,因此我现在转向保护现场的测试,而不是诱发。
© 2000 - 2026 Rising Corp. Ltd.
