1   1  /  1  页   跳转

瑞星行为防御模块专项评测之六

收藏
Palkia
头像
强壮不惑狮
  • 帖子:1079
  • 注册: 2009-01-20
  • 来自:Subspace
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-08-29 11:28 | 只看楼主 短消息 资料
字号: 1楼

瑞星行为防御模块专项评测之六

历史测试帖
http://bbs.ikaka.com/showtopic-8657865.aspx  0824
http://bbs.ikaka.com/showtopic-8658611.aspx  0825
http://bbs.ikaka.com/showtopic-8659048.aspx  0826
http://bbs.ikaka.com/showtopic-8659258.aspx  0827
http://bbs.ikaka.com/showtopic-8659953.aspx  0828

测试宗旨
由于瑞星的此模块在之前的年版本中都显得十分“含蓄”,做此测试是为了让大家对2010版的新木马行为防御模块有个新认识,要让大家刮目相看, 而不是为了找出它有多少能拦截或多少不拦截.

测试说明
1.使用目前还是绝对主流的xp3系统,测试系统默认进程数为21个;
2.不安装所有非智能主防模块并关闭系统加固;
3.行为防御设定为最高级并使用提示处理;
4.遇到相关问题诸如bug或改进建议等会在测试中说明;
5.遇到不报样本将使用eq监控详细行为并附上日志;
6.每次测试将附上当次测试使用的样本并根据测试情况设置较为合理的下载权限,有需要请下载;
7.保证每测试一个样本前将系统还原到干净状态.

0829 今日待测样本数:5个

MD5
F462D1145E4094625736B37ABA89136F
C39526B0ABDD9E764EB224BFBBFA0D79
3A48E91B23A9A6D0F4B4D0937CE90C5B
DDFCAFF05B0C3F7D482104C664EAB7B3
7508066D51A774480406A63385C1F86E

今日说明


运行viurs-1
没有任何拦截提示
首先出现2次cmd窗口,
接着是出现一张图片,手动关闭它。

托盘里出现一个空位的托盘图标。

尝试右键它。

选择exit。
图标消失,但又转眼间又再次出现,反复尝试,结果一样。
看此时进程。

样本本体仍在,但已经没有发现其进程。

运行virus-2,出现

拦截成功,系统安全,瑞星安全。

运行virus-3,片刻
弹出一张图片,瑞星无拦截。
ie在后台被启动。

运行virus-4,桌面生成两个文件。

于是,任务管理器消失,但是马上又出现

选择隔离删除,样本和相关文件被删除。
打开任务管理器,21个进程,恢复正常,拦截成功。

运行virus-5(就是virus-4生成的那个flash图标的变种),出现2个cmd窗口。

任务管理器消失,再次打开,马上被关闭.
之后等了几分钟,有很多内存出错提示,但马上被关闭,以下是有eq监控挂起动作时候截的某个图

内存出错时总是会拦截到此动作。

后来ie被启动,访问了几个网页,

期间瑞星一直没有任何拦截。
总结
请尽快分析处理木马行为防御不能防御样本的原因。对于第二个样本,既保护了系统,也防御了干扰,表现良好。
附上virus-1和virus-5的eq日志及样本。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; TheWorld)

附件附件:

你的下载权限 1 低于此附件所需权限 200, 你无权查看此附件

附件附件:

你的下载权限 1 低于此附件所需权限 255, 你无权查看此附件

最后编辑Palkia 最后编辑于 2009-08-29 11:45:38
分享到:
gototop
 
1415
头像
在线工程师
  • 帖子:428
  • 注册: 2009-06-29
  • 来自:
发表于: 2009-08-29 11:37 | 短消息 资料
字号: 2楼

回复:瑞星行为防御模块专项评测之六

感谢您的反馈,该问题已经搜集。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT