1   1  /  1  页   跳转

瑞星行为防御模块专项评测之四

收藏
Palkia
头像
强壮不惑狮
  • 帖子:1079
  • 注册: 2009-01-20
  • 来自:Subspace
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-08-27 09:12 | 只看楼主 短消息 资料
字号: 1楼

瑞星行为防御模块专项评测之四

历史测试帖
http://bbs.ikaka.com/showtopic-8657865.aspx  0824
http://bbs.ikaka.com/showtopic-8658611.aspx  0825
http://bbs.ikaka.com/showtopic-8659048.aspx  0826

测试宗旨
由于瑞星的此模块在之前的年版本中都显得十分“含蓄”,做此测试是为了让大家对2010版的新木马行为防御模块有个新认识,要让大家刮目相看, 而不是为了找出它有多少能拦截或多少不拦截.

测试说明
1.使用目前还是绝对主流的xp3系统,测试系统默认进程数为21个;
2.不安装所有非智能主防模块并关闭系统加固;
3.行为防御设定为最高级并使用提示处理;
4.遇到相关问题诸如bug或改进建议等会在测试中说明;
5.遇到不报样本将使用eq监控详细行为并附上日志;
6.每次测试将附上当次测试使用的样本并根据测试情况设置较为合理的下载权限,有需要请下载;
7.保证每测试一个样本前将系统还原到干净状态.

0827 今日待测样本数:3个

MD5
8AAE5DFE718ED394D10833B3CCA751C8
D74CD2A53FF9573D4CA12108153200EE
5A57C5D0E8BD33D83A3E12D20086CB7A

今日说明


运行viurs-1,马上出现

点隔离删除,稍等出现

看看文件名,发现不是本体

点阻止
最后发现本体还在,没有被删除,但进程已经消失。
再次双击运行样本,还是马上出现

接着就是

最后本体样本消失。
干净系统重复测试结果也是如上所述。

运行viurs-2,出现

然后就一直没有什么现象了,倒是我实机里的瑞星恶意网址拦截不断隔三差五地拦截到访问恶意网址,直到在虚拟机中
手动结束ie进程。(测试机中瑞星只装主防组件)这里上一张实机拦截的图,其他的就不一一列举了,弹窗太多了。

任务管理器情况,比干净系统时候多了2个进程,一个是ie,一个是样本本体。

用eq也没有监控到更多的动作。

实机运行virus-3,为了作区别,用了不同的皮肤

选择阻止,接着是


选择隔离删除
虚拟机系统登陆后10分钟内,不进行任何操作,10分钟后运行virus-3
没有任何拦截提示,进程数增多至50+,明显是下载者木马。
瑞星监控被关闭,进程退出。

总结
1.不知为何第一次测试时已经报了本体文件并点删除了,本体还在,没有被删除。
2.此样本本身可能没有更多危害动作,但用ie访问的网址都为恶意。不排除有瑞星没有检测到的,因此还是单独上报上来。
3.下载者木马,虚拟机开机已经有10分钟,复测1次,结果一样是瑞星监控被关闭,进程退出。但实机却可以拦截,无解。

附上样本

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; TheWorld)

附件附件:

你的下载权限 1 低于此附件所需权限 255, 你无权查看此附件

最后编辑Palkia 最后编辑于 2009-08-27 09:13:36
分享到:
gototop
 
浅浅星眸笑
头像
在线工程师
  • 帖子:1047
  • 注册: 2009-06-23
  • 来自:
发表于: 2009-08-27 09:19 | 短消息 资料
字号: 2楼

回复:瑞星行为防御模块专项评测之四

已收集,感谢您的支持与反馈!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT