1   1  /  1  页   跳转

[RAV] 瑞星别说智能主动防御,HIPS极大都需要加强呀!

收藏
人民领袖
头像
快乐黄口狮
  • 帖子:184
  • 注册: 2007-10-26
  • 来自:深圳
发表于: 2009-06-26 12:06 | 只看楼主 短消息 资料
字号: 1楼

瑞星别说智能主动防御,HIPS极大都需要加强呀!

N久以前的威金病毒
看下面一大堆操作,瑞星只报了两个操作——修改系统文件,连改注册表都不报,如此明显的东西,瑞星不报毒?!
不报毒也就算了,毕竟智能主动防御很难,但是,HIPS提示也该给多两个吧?
我估计瑞星是使用了最简单的白名单,所以对net,net1不监视,被病毒改了,瑞星也不管......
不过还好,貌似病毒尝试结束瑞星进程,被瑞星阻止。
821    11:45:26.109    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateKey    创建注册项"HKLM\SOFTWARE\Microsoft\Cryptography\RNG"    SUCCESS   
822    11:45:26.156    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe"    SUCCESS   
823    11:45:26.218    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\ctfmon.exe"    SUCCESS   
824    11:45:26.218    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\ctfmon.exe"    SUCCESS   
825    11:45:26.234    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\conime.exe"    SUCCESS   
826    11:45:26.234    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\conime.exe"    SUCCESS   
827    11:45:26.234    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\wuauclt.exe"    SUCCESS   
828    11:45:26.234    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\wuauclt.exe"    SUCCESS   
829    11:45:26.578    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"\SystemRoot\AppPatch\sysmain.sdb"    SUCCESS   
830    11:45:26.578    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"\SystemRoot\AppPatch\systest.sdb"    NOTFOUND   
831    11:45:26.578    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"\Device\NamedPipe\ShimViewer"    NOTFOUND   
832    11:45:26.593    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\net.exe"    SUCCESS   
833    11:45:26.593    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\net.exe"    SUCCESS    [/fly]
834    11:45:27.171    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\SystemRoot\AppPatch\sysmain.sdb"    SUCCESS   
835    11:45:27.171    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\SystemRoot\AppPatch\systest.sdb"    NOTFOUND   
836    11:45:27.171    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\Device\NamedPipe\ShimViewer"    NOTFOUND   
837    11:45:27.171    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\Device\NamedPipe\ShimViewer"    NOTFOUND   
838    11:45:27.171    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"C:\WINDOWS\AppPatch\AcGenral.DLL"    SUCCESS   
839    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\Device\NamedPipe\ShimViewer"    NOTFOUND   
840    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateKey    创建注册项"HKLM\SOFTWARE\Microsoft\Cryptography\RNG"    SUCCESS   
841    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateKey    创建注册项"HKCU\Software\Microsoft\Multimedia\Audio"    SUCCESS   
842    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateKey    创建注册项"HKCU\Software\Microsoft\Multimedia\Audio Compression Manager\"    SUCCESS   
843    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateKey    创建注册项"HKCU\Software\Microsoft\Multimedia\Audio Compression Manager\MSACM"    SUCCESS   
844    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateKey    创建注册项"HKCU\Software\Microsoft\Multimedia\Audio Compression Manager\"    SUCCESS   
845    11:45:27.187    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateKey    创建注册项"HKCU\Software\Microsoft\Multimedia\Audio Compression Manager\Priority v4.00"    SUCCESS   
846    11:45:27.203    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"C:\WINDOWS\WindowsShell.Manifest"    SUCCESS   
847    11:45:27.515    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\SystemRoot\AppPatch\sysmain.sdb"    SUCCESS   
848    11:45:27.515    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\SystemRoot\AppPatch\systest.sdb"    NOTFOUND   
849    11:45:27.515    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"\Device\NamedPipe\ShimViewer"    NOTFOUND   
850    11:45:27.531    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\net1.exe"    SUCCESS   
851    11:45:27.531    net.exe:192(C:\WINDOWS\system32\net.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\net1.exe"    SUCCESS   
852    11:45:27.812    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\rundl132.exe"    SUCCESS   
853    11:45:28.078    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateKey    创建注册项"HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows"    SUCCESS   
854    11:45:28.078    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe"    SUCCESS   
855    11:45:28.109    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\ctfmon.exe"    SUCCESS   
856    11:45:28.109    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\ctfmon.exe"    SUCCESS   
857    11:45:28.109    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\conime.exe"    SUCCESS   
858    11:45:28.109    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\conime.exe"    SUCCESS   
859    11:45:28.125    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\wuauclt.exe"    SUCCESS   
860    11:45:28.125    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\wuauclt.exe"    SUCCESS   
861    11:45:28.125    Logo1_.exe:3912(C:\Documents and Settings\konglt\桌面\vking\Logo1_主体病毒样本\Logo1_.exe)    NtCreateFile    创建文件"C:\WINDOWS\system32\net.exe"    SUCCESS   
看红色部分,就是一部分利用修改系统文件,再进行操作
还有,我重启后,所有监视自动打开,可是貌似他重视报同一个病毒,我选删除,瑞星提示重启后删除,然后,他会反复提示删除这个文件

如第二幅图,这里面的提示会反复出现。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8

附件附件:

文件名:杀毒.JPG
下载次数:578
文件类型:image/jpeg
文件大小:
上传时间:2009-6-26 12:05:38
描述:jpg



最后编辑人民领袖 最后编辑于 2009-06-26 12:08:28
前进!同志,从一个胜利走向另一个胜利!!!
                     
分享到:
gototop
 
瑞星工程师18
头像
在线技术支持工程师
  • 帖子:1589
  • 注册: 2008-09-08
  • 来自:
发表于: 2009-06-26 12:59 | 短消息 资料
字号: 2楼

回复:瑞星别说智能主动防御,HIPS极大都需要加强呀!

最好能有测试的样本文件
gototop
 
瑞星工程师08
头像
在线工程师
  • 帖子:79
  • 注册: 2008-09-05
  • 来自:
发表于: 2009-06-26 13:02 | 短消息 资料
字号: 3楼

回复:瑞星别说智能主动防御,HIPS极大都需要加强呀!

您是如何测试的  开了木马行为防御了么
gototop
 
人民领袖
头像
快乐黄口狮
  • 帖子:184
  • 注册: 2007-10-26
  • 来自:深圳
发表于: 2009-06-26 14:02 | 只看楼主 短消息 资料
字号: 4楼

回复: 瑞星别说智能主动防御,HIPS极大都需要加强呀!



引用:
原帖由 瑞星工程师08 于 2009-6-26 13:02:00 发表
您是如何测试的  开了木马行为防御了么
没开实时监视,主动防御全开。怎么给你们样本?
前进!同志,从一个胜利走向另一个胜利!!!
                     
gototop
 
浅浅星眸笑
头像
在线工程师
  • 帖子:1047
  • 注册: 2009-06-23
  • 来自:
发表于: 2009-06-26 14:06 | 短消息 资料
字号: 5楼

回复: 瑞星别说智能主动防御,HIPS极大都需要加强呀!

可以直接在这里添加附件,提供病毒样本!
gototop
 
人民领袖
头像
快乐黄口狮
  • 帖子:184
  • 注册: 2007-10-26
  • 来自:深圳
发表于: 2009-06-26 14:42 | 只看楼主 短消息 资料
字号: 6楼

回复: 瑞星别说智能主动防御,HIPS极大都需要加强呀!



引用:
原帖由 浅浅星眸笑 于 2009-6-26 14:06:00 发表
可以直接在这里添加附件,提供病毒样本!
好!

附件附件:

下载次数:285
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-26 14:41:35
描述:rar

前进!同志,从一个胜利走向另一个胜利!!!
                     
gototop
 
瑞星工程师12
头像
在线技术支持工程师
  • 帖子:21624
  • 注册: 2008-09-08
  • 来自:RISING
发表于: 2009-07-23 13:44 | 短消息 资料
字号: 7楼

回复:瑞星别说智能主动防御,HIPS极大都需要加强呀!

楼主提供的样本目前最新版可以查杀,行为分析也可以拦截
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT