杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试
在
杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第二阶段)的帖子中,本人提到恶意行为检测需要增加敏感度,尤其是对于感染型病毒的敏感度。由于当时没找到合适的样本,所以没做这方面的测试,刚刚找到了一个“古老”的威金病毒,试了下,
果然成功“绕过”了瑞星的主动防御和各项监控。
测试步骤:
假定该病毒为未知病毒,瑞星尚未入库。因此将瑞星文件监控关闭。
1.把系统加固开到最高
2.木马攻击拦截开到最高
3.用瑞星扫描该样本,确认是威金病毒
4. 运行该样本。未发现瑞星有任何动静。只是过了一段时间后弹出了瑞星自我保护的提示,因为病毒正在试图感染瑞星文件夹中的文件。
5.为什么测试结果是这样呢?威金病毒也是写注册表开机启动的阿!
细究发现:威金病毒写的注册表启动键值是HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\LOAD
在瑞星系统加固中,为了确实的对系统进行“加固”,对修改该项键值的动作默认操作是拒绝,因此不会提示用户。瑞星主动防御监测到了变化,但由于直接拒绝了,用户不知道。
这样便给病毒带来一个绝对的“隐藏”空间,给他们了可乘之机。这期间普通用户根本无法了解到自己中毒了,瑞星主动防御不弹出任何提示,病毒只是在后台感染文件。虽然注册表被锁死,启动不了,但文件还是可以成功感染的。
因此以后病毒蛮可以做的不声不色,不改动注册表,只下载木马或者感染文件。一样可以达到目的。
综上,提出两点建议:1.希望木马攻击拦截做的更敏感些,通过监控进程调用的API序列检测感染型病毒(FindFirstFile,FindNextFile,CreateFile,WriteFire等)或者下载者病毒(UrlDownloadToFile,Winexec等)。2.虽然主动防御中增加了结束进程的操作,但那只限于规则中“提示”用户的那些规则,对于系统加固中直接“拒绝”掉的更加危险的动作,不但不提示用户,而且也没有去结束该进程。因此在遇到这类被规则直接拒绝的危险动作时,也应该出一个框提示用户,并且提供“结束进程”选项,且该选项应该默认勾选。 如图病毒在附件中 密码123 用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727)