瑞星卡卡安全论坛企业产品讨论区瑞星2009公测瑞星2009测试版问题反馈瑞星杀毒软件2009公测 发现瑞星2009杀毒软件和防火墙的严重bug(用熊猫烧香病毒测试)

1   1  /  1  页   跳转

[意见建议] 发现瑞星2009杀毒软件和防火墙的严重bug(用熊猫烧香病毒测试)

发现瑞星2009杀毒软件和防火墙的严重bug(用熊猫烧香病毒测试)

今天用了不同变种的熊猫烧香测试了瑞星杀毒软件2009和瑞星防火墙2009的防御能力。测试中发现了一些bug,防火墙的bug尤为严重,现在将测试过程,结果以及样本发上来,希望瑞星工程师研究。
测试中采用了两个版本的熊猫烧香病毒
一 Worm.Nimaya.gen测试
假设该病毒为未知病毒,关闭瑞星文件监控,其他照常开启,防火墙开启


运行样本
瑞星杀毒软件弹出了主动防御的提示框,选择阻止(不结束程序)

接着瑞星弹出了自我保护的提示(病毒在试图结束瑞星进程)


令人欣慰的是,此时瑞星的木马攻击拦截弹出了提示框


大喜过后,大悲来了,几乎同时,防火墙“智能”的判定病毒程序为“正常程序”予以放行


查看该样本属性,无任何版本信息,为什么防火墙会放行呢???

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727)
最后编辑K的二次方 最后编辑于 2008-09-30 12:49:31
分享到:
gototop
 

回复:发现瑞星2009杀毒软件和防火墙的bug(用熊猫烧香病毒测试)

第二个样本测试(出现了较大问题)
恢复虚拟机镜像,同样的测试环境,将瑞星文件监控关闭,其他开启,防火墙开启。

运行样本后
瑞星主动防御弹出对话框


瑞星自我保护和瑞星防火墙同时弹出窗口
这回防火墙没有自动放行,弹出了询问窗口
但防火墙的显示为何是“低风险”程序呢?怎么判断的?

问题又来了,此时我们点击防火墙“应用程序网络访问监控”的“拒绝此次”按钮
之后不但没有按照我们的意愿拒绝该次网络访问,而是又“智能”的自作主张放过了。
最后编辑K的二次方 最后编辑于 2008-09-30 12:39:47
gototop
 

回复:发现瑞星2009杀毒软件和防火墙的bug(用熊猫烧香病毒测试)

由此测试发现的问题
1.瑞星的木马攻击拦截问题
同样病毒的不同变种,只是生成的文件名不同,为什么木马攻击拦截对待他们的“态度”不同?难道木马攻击拦截是靠文件名判断的???

2.瑞星防火墙的智能判定问题
两次测试中瑞星防火墙均“智能”放行了病毒文件,他是如何判断的呢??

3.瑞星防火墙的一个严重bug
在第二个测试中,我们点击“拒绝此次”,防火墙竟然也放过了,一个严重的bug吧???

4.被感染文件的修复问题
附件中httpdebug.exe是此次被worm.nimaya.ax感染的程序,瑞星08能修复,而09是直接删除

附件样本说明
第一个测试的样本为  第一次测试样本.rar
第二个测试的样本为 第二次测试样本.rar
被感染的样本为        被感染样本08清除09删除.rar

密码:123

附件附件:

下载次数:217
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-30 12:47:29
描述:rar

附件附件:

下载次数:234
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-30 12:47:29
描述:rar

附件附件:

下载次数:224
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-30 12:47:29
描述:rar

最后编辑K的二次方 最后编辑于 2008-09-30 12:48:44
gototop
 

回复:发现瑞星2009杀毒软件和防火墙的bug(用熊猫烧香病毒测试)

支持!
防火墙的bug很严重,最好防火墙在放行之前能够访问卡卡诊所服务器检测文件安全性
gototop
 

回复:发现瑞星2009杀毒软件和防火墙的严重bug(用熊猫烧香病毒测试)

您的问题我们已收集,感谢您的支持。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT