1   1  /  1  页   跳转

瑞星RIS的一些再建议

瑞星RIS的一些再建议

首先建议的是:

监控:感觉瑞星现在的监控做得比较宽松,有些已知的病毒运行,瑞星都不会有反应。

比如附件中的:wsctf.exe
这个病毒应该是06年或者是07左右的很老很老的病毒,可能是因为带有微软的签名,所以病毒运行瑞星没有反应。只有右键查杀才能查杀。

再就是危险动作分析,感觉少了提示,比如附件中的这个样本:31FBC23E.EXE

他的危险动作应该是创建C:\autorun.inf,但是这里并没有标出来,感觉挺郁闷的。




还有就是木马行为判断,这个路径,真难看出来,测试样本是:CQWD9M[1].EXE

怎么样,我都没办法看清楚到底有哪些相关文件



另外就是一个未知的样本了(创建了服务,其它的行为用RIS没有分析到)

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)

附件附件:

下载次数:3169
文件类型:application/octet-stream
文件大小:
上传时间:2009-7-28 23:11:10
描述:rar

传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
分享到:
gototop
 

回复:瑞星RIS的一些再建议

支持一个
gototop
 

回复:瑞星RIS的一些再建议

截图报的危险动作 不是创建autorun.inf的行为 是其他行为
gototop
 

回复:瑞星RIS的一些再建议

您的问题已收集,感谢您的支持。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT