12   1  /  2  页   跳转

瑞星应重视.vbs类病毒的处理

瑞星应重视.vbs类病毒的处理

从第一阶段测试开始至今,发现RIS2010在vbs类病毒的预防上无多大进步。

今天在卡饭找到的这个样本qvod.exe就是一个典型的例子(我见过的绕过RIS2010默认设置的vbs病毒当然不止这一个)。

系统:XPSP3,全补丁。
浏览器:IE8。
RIS2010版本:22.00.00.81;病毒库版本:22.10.05.00。
RIS2010设置:安装默认设置。所有监控全部打开。

qvod.exe运行后,RIS2010无任何反应。


看看U盘,病毒文件全部到齐了:



进程列表中,RIS2010已经消失得无影无踪:




此时,RIS2010已经从任务栏消失。双击桌面的RIS2010图标:



不多说了。附上此毒样本及其释放的主体程序。望瑞星工程师分析。并重视这类病毒的预防问题。


附件: qvod.rar (2009-8-29 16:27:42, 40.03 K)
该附件被下载次数 204





         上报文件成功!
查询编号:RS20090829162521328873



用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-08-29 16:42:01
分享到:
gototop
 

回复:瑞星应重视.vbs类病毒的处理

样本已经收集,感谢您对瑞星的支持!
gototop
 

回复:瑞星应重视.vbs类病毒的处理

此毒很霸道。运行后恢复SSDT。SSDT表中只有它自己的驱动(红字)。


gototop
 

回复:瑞星应重视.vbs类病毒的处理

还有一类 就是批处理。
gototop
 

回复:瑞星应重视.vbs类病毒的处理

这个行为防御高级应该会拦一下吧
gototop
 

回复:瑞星应重视.vbs类病毒的处理

这也不是完全的vbs病毒
那个vbs就是为了运行那个system.exe的
gototop
 

回复:瑞星应重视.vbs类病毒的处理

好像很多用脚本启动的病毒都没拦截...
gototop
 

回复: 瑞星应重视.vbs类病毒的处理



引用:
原帖由 最硬的石头 于 2009-8-29 22:43:00 发表
好像很多用脚本启动的病毒都没拦截...


很多菜鸟级用户多采用RIS2010的安装默认设置。但RIS2010的默认安装设置对于某些类型的病毒防护效果并不是很好。

这是我要强调的。
gototop
 

回复:瑞星应重视.vbs类病毒的处理

你还强调哪??

我对于瑞星的默认规则的严苛程度远远低于卡巴,强调过无数次了。

这是改变不了国内软件照顾普通用户的想法的。

瑞星的默认规则几乎就是放行所有病毒文件特征库监控不到的所有病毒的。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 瑞星应重视.vbs类病毒的处理



引用:
原帖由 天月来了 于 2009-8-29 23:47:00 发表
你还强调哪??

我对于瑞星的默认规则的严苛程度远远低于卡巴,强调过无数次了。

这是改变不了国内软件照顾普通用户的想法的。

瑞星的默认规则几乎就是放行所有病毒文件特征库监控不到的所有病毒的。


2010绝对不是这样
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT