实战未知样本(一)
瑞星2010经过第一阶段的测试,大家提出很多建议,瑞星可以说进步了很多 木马防御的规则也已经很完善了,下面我们来通过一个未知样本,来体现瑞星的多重防御功能。
这个样本貌似和瑞星作对 运行后的效果见图 不断弹出下图 工程师们进一步测试
是不是像此样本宣称的一样呢?
下面测试一下
首先右键扫描,启发式扫描能力突现
下面运行一下看看,启发是不是准确
运行后样本要求联网
当然选择总是拒绝选项后,样本就没有威胁了 (第一层防御)
为了进一步测试 放行
在c盘建立1.exe 一个avkiller 已经加入到病毒库中
及时没有加入到病毒库,瑞星的自我保护功能很好的保护
然后样本创建C:\AUTORUN.INF 触发规则
选择结束程序 威胁解除
很可惜的是貌似桌面被修改了 希望工程师加以考虑
不过桌面很有意思 好像是和瑞星对着干的
不过没有关系 这样可以促进瑞星的不断进步
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
