征集RIS2010木马行为防御不报的样本

RIS2010已经开始公测,同第一次公测,欢迎大家继续上报RIS2010木马行为防御不报的样本。


与第一阶段RAV的木马行为防御有所不同,RIS2010可以整合多种信息进行病毒异常行为的分析和监控,如:触犯自我保护信息,程序异常联网和发包信息等等。对于木马行为的判断更加全面。因此在测试中需要按照如下要求进行设置。

(测试病毒样本有一定危险性,请有经验的网友参与,并强烈建议在虚拟机中测试)

测试与上报要求:

关闭文件监控:


关闭系统加固:



注意不要关闭网络监控和自我保护。网络监控选择默认设置即可。



运行病毒样本,看木马行为防御能否报出,如果能报出,选择对应的处理方式,看处理结果是否正常。(病毒本体及其衍生物是否被删除,相关进程是否被结束,恶意动作是否阻止成功等等)



测试时可以先使用木马行为防御默认设置进行测试,如果默认设置没能拦住,可以选择高级再试。如果中级不报,高级可以报出也请一并把样本发上来。(此类样本请注明:高级可以报出)我们将针对相应样本对规则进行适当调整。





报警示意图:
危险动作分析:


未知木马病毒分析



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
最后编辑瑞星工程师08 最后编辑于 2009-07-20 12:04:46