瑞星卡卡安全论坛企业产品讨论区瑞星2009公测瑞星2009测试版问题反馈瑞星杀毒软件2009公测 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试

1   1  /  1  页   跳转

[意见建议] 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试

杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试

杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)的帖子中,本人提到恶意行为检测需要增加敏感度,尤其是对于感染型病毒的敏感度。由于当时没找到合适的样本,所以没做这方面的测试,刚刚找到了一个“古老”的威金病毒,试了下,果然成功“绕过”了瑞星的主动防御和各项监控
      测试步骤:
      假定该病毒为未知病毒,瑞星尚未入库。因此将瑞星文件监控关闭。

      1.把系统加固开到最高
     

        2.木马攻击拦截开到最高
     

      3.用瑞星扫描该样本,确认是威金病毒
     

      4. 运行该样本。未发现瑞星有任何动静。只是过了一段时间后弹出了瑞星自我保护的提示,因为病毒正在试图感染瑞星文件夹中的文件。
     

      5.为什么测试结果是这样呢?威金病毒也是写注册表开机启动的阿!
          细究发现:威金病毒写的注册表启动键值是HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\LOAD
      在瑞星系统加固中,为了确实的对系统进行“加固”,对修改该项键值的动作默认操作是拒绝,因此不会提示用户。


瑞星主动防御监测到了变化,但由于直接拒绝了,用户不知道。


      这样便给病毒带来一个绝对的“隐藏”空间,给他们了可乘之机。这期间普通用户根本无法了解到自己中毒了,瑞星主动防御不弹出任何提示,病毒只是在后台感染文件。虽然注册表被锁死,启动不了,但文件还是可以成功感染的。
      因此以后病毒蛮可以做的不声不色,不改动注册表,只下载木马或者感染文件。一样可以达到目的。

    综上,提出两点建议:
1.希望木马攻击拦截做的更敏感些,通过监控进程调用的API序列检测感染型病毒(FindFirstFile,FindNextFile,CreateFile,WriteFire等)或者下载者病毒(UrlDownloadToFileWinexec等)
2.虽然主动防御中增加了结束进程的操作,但那只限于规则中“提示”用户的那些规则,对于系统加固中直接“拒绝”掉的更加危险的动作,不但不提示用户,而且也没有去结束该进程。因此在遇到这类被规则直接拒绝的危险动作时,也应该出一个框提示用户,并且提供“结束进程”选项,且该选项应该默认勾选。  如图


病毒在附件中 密码123

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727)

附件附件:

下载次数:450
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-29 20:29:42
描述:rar

本帖被评分 1 次
最后编辑K的二次方 最后编辑于 2008-09-29 20:46:33
分享到:
gototop
 

回复:杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试

您的问题我们已收集,感谢您的支持。
gototop
 

回复:杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试

很细心,楼主第三阶段测试帖未发完,先顶顶这帖。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT