瑞星行为防御模块专项评测之八

历史测试帖
http://bbs.ikaka.com/showtopic-8657865.aspx  0824
http://bbs.ikaka.com/showtopic-8658611.aspx  0825
http://bbs.ikaka.com/showtopic-8659048.aspx  0826
http://bbs.ikaka.com/showtopic-8659258.aspx  0827
http://bbs.ikaka.com/showtopic-8659953.aspx  0828
http://bbs.ikaka.com/showtopic-8660314.aspx  0829
http://bbs.ikaka.com/showtopic-8660572.aspx  0830

测试宗旨
由于瑞星的此模块在之前的年版本中都显得十分“含蓄”,做此测试是为了让大家对2010版的新木马行为防御模块有个新认识,要让大家刮目相看, 而不是为了找出它有多少能拦截或多少不拦截.


测试说明
1.使用目前还是绝对主流的xp3系统,测试系统默认进程数为21个;
2.不安装所有非智能主防模块并关闭系统加固;
3.行为防御设定为最高级并使用提示处理;
4.遇到相关问题诸如bug或改进建议等会在测试中说明;
5.遇到不报样本将使用eq监控详细行为并附上日志;
6.每次测试将附上当次测试使用的样本并根据测试情况设置较为合理的下载权限,有需要请下载;
7.保证每测试一个样本前将系统还原到干净状态.


0831 今日待测样本数:3个

MD5
6B660FFCFC09F27A531C817FA427BCD8
3639AC0FFF346A5ED86EFA7F0617DC42
43C107EFA5915E91E12F596C09607E39

今日说明


运行virus-1,出现

阻止

隔离删除

运行virus-2,出现

隔离删除
接着出现

看下进程

恢复正常,系统安全。


运行virus-3,文件夹图标病毒。
干净系统第一次运行,
运行后提示

片刻出现拦截

隔离删除,拦截成功。

再次复制样本到相同路径运行,还是先会出现

接着就是这个了,点取消或重试均继续不断出现此提示,点继续后缓了一下后问题一样。

此时看任务管理器发现样本本体进程退出,期间瑞星也没有拦截。

后来发现第一次运行时病毒把我共享的文件夹全部设定成了隐藏文件且不能取消隐藏,此动作没有被回滚。
看来是第一次运行拦截只删除回滚生成文件动作,没有回滚其他动作。。

总结
对于virus-2,即使没有删除它,只拦截了一个危险动作,但系统安全,也算是完美拦截。
对于virus-3的问题,应该是由于第一次没有回滚其他动作但删除了病毒文件,造成第二次运行出现了那个没有软盘的提示。希望能够完善下对文件夹病毒的防御。

附上样本。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; TheWorld)

附件附件:

你的下载权限 1 低于此附件所需权限 150, 你无权查看此附件

最后编辑Palkia 最后编辑于 2009-08-31 07:28:41