瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

12   1  /  2  页   跳转

瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

系统环境:
XP SP3(虚拟机)
248MB内存
IE6.0
瑞星版本:21.01.30
瑞星主动防御设置为高。

运行该病毒,监控没有报毒。

主动防御检测到病毒的动作。


修改系统时间。


释放驱动。

瑞星杀毒软件并没有被破坏。但是防火墙就不能幸免了。防火墙的自我保护需要加强!

该病毒尝试修改wuauclt1.exe

虽然杀毒软件没有被破坏,但是该病毒不断释放驱动等的动作让用户很不爽啊!不断的弹对话框!

勾上“重启前使用相同处理方式”,但重启后还是会弹。而且该病毒的动作还挺多。建议增加“黑名单”解决此类情况。

病毒尝试在各个盘创建autorun


查看历史记录,发现病毒还尝试映像劫持。被拦截了。

该病毒还修改了“显示隐藏文件”,现在无法显示隐藏文件了。瑞星没能拦截该动作。建议加强此防御。


总的来说,瑞星拦截了大部分恶意行为。但是防火墙的自我保护,无限的弹对话框,隐藏文件的显示瑞星不能很好防御。

病毒样本在附件中。密码为:virus


瑞星主动防御及自我保护测试----瑞星VS机器狗
http://bbs.ikaka.com/showtopic-8547744.aspx

瑞星主动防御及自我保护测试----瑞星VS熊猫烧香Ô
http://bbs.ikaka.com/showtopic-8546985.aspx
瑞星主动防御及自我保护测试----瑞星VS灰鸽子
http://bbs.ikaka.com/showtopic-8547991.aspx

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

附件附件:

文件名:update.rar
下载次数:474
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-19 22:16:23
描述:rar

最后编辑DoctorLc 最后编辑于 2008-09-19 22:18:38
分享到:
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

msdos?中毒了吧,赶快查杀一下,还有update也要杀毒
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

本来就是在测试该病毒嘛.....
09查不出该病毒!病毒库需加强。
gototop
 

回复: 瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

重启后,防火墙恢复。
防火墙中显示出病毒创建的进程。防火墙能不能自动报可疑进程呢?
最后编辑DoctorLc 最后编辑于 2008-09-19 22:27:47
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

楼主很强大,支持一下
wuauclt、wscript、csript、rundll32都是比较危险的东西,感染病毒通过数字签名检验是无效的(因为只加载了模块而没有修改原有程序),有些病毒甚至可以绕过模块检查,并且用特殊方法隐藏命令行参数,应该对此类加载器严加防守
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

嗯~~~~~~
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

楼主测试一下小猪病毒,看看瑞星的主防能否完美防住!
样本可以在卡饭论坛找到
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

您的问题和样本我们已收集,感谢您的支持。
gototop
 

回复:瑞星主动防御及自我保护测试----瑞星VSAutorun类木马

楼主不怕电脑爆了么?
时间过得好快。。。。
gototop
 

回复: 瑞星主动防御及自我保护测试----瑞星VSAutorun类木马



引用:
原帖由 Frank3160449 于 2008-9-26 12:40:00 发表
楼主不怕电脑爆了么? 

人家那是在虚拟机里……
病毒样本请发到可疑文件交流区
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT