RIS2010实战下载器类病毒,“自我保护”存在缺陷!
这是一个下载器类病毒。
运行病毒后,瑞星弹出主动防御窗口(选择放行),瑞星弹出未知木马检测窗口(如图)。如果此时再次放行,瑞星立刻被病毒杀死!
病毒此时已经将瑞星结束(技术细节见点评),病毒释放多个病毒文件(包括线程插入,此时瑞星“应用程序加固”已经毫无意义。
病毒首先调用NTFS权限和ntsd文件封死安全软件。
此时,瑞星卡卡、瑞星全功能安全软件已经被完全杀死,对于普通菜鸟用户这将是个灾难!
点评:瑞星2010在未知病毒木马防范侦测方面做了相当大努力,是瑞星的未知威胁防御走在了世界领先位置!但是,再厉害的未知威胁侦测也会被病毒木马突破。此时,安全软件的“自我保护”功能就成了用户信息安全的最后保障。凭良心说,瑞星的自我保护是它最差劲的地方。(一些病毒木马可以通过枚举瑞星进程,调动关联作业对象终止瑞星)
