瑞星RIS的一些再建议
首先建议的是:
监控:感觉瑞星现在的监控做得比较宽松,有些已知的病毒运行,瑞星都不会有反应。
比如附件中的:wsctf.exe
这个病毒应该是06年或者是07左右的很老很老的病毒,可能是因为带有微软的签名,所以病毒运行瑞星没有反应。只有右键查杀才能查杀。
再就是危险动作分析,感觉少了提示,比如附件中的这个样本:31FBC23E.EXE
他的危险动作应该是创建C:\autorun.inf,但是这里并没有标出来,感觉挺郁闷的。
还有就是木马行为判断,这个路径,真难看出来,测试样本是:CQWD9M[1].EXE
怎么样,我都没办法看清楚到底有哪些相关文件
另外就是一个未知的样本了(创建了服务,其它的行为用RIS没有分析到)
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)
