关于瑞星主动防御对于创建桌面图标类病毒的释疑
近来很多热心用户测试了瑞星2011版本的行为防御功能,在此非常感谢这些用户对于瑞星产品的关注!
很多用户在测试中都提到了这样的问题,瑞星对于流氓软件的防护程度不够,尤其是创建桌面图标(假的lnk,淘宝lnk)的病毒。
很负责任的跟大家说,在瑞星2011和2010的木马行为防御中,有针对类似病毒的规则。但测试中有人提出瑞星报警了但桌面图标还是被创建出来了,且点击删除按钮那些图标也还在。这点要向大家说明的是:由于创建文件(CreateFile)是系统很频繁的操作,因此这类动作我们采取的是“事后通知”的方式,以防止造成系统运行不畅。所谓“事后通知”就是当文件创建完毕的时候驱动层才会把文件创建的消息发送给行为分析引擎,然后行为分析引擎再通过规则对这类消息进行过滤。比如某个病毒在桌面上创建了假的IE快捷方式,当病毒创建完这个假的快捷方式的时候,行为分析引擎收到通知,匹配了某个规则,然后提示用户是否结束掉该进程。这个时候的宏观表现是桌面图标已经出来了,且病毒进程已经被瑞星结束了。
那么又为什么点击“删除”按钮,无法删除这些图标呢?
对于每个进程创建的文件,我们会将其与该进程关联起来。当该进程触犯行为分析规则的时候,正常情况下,我们会把这个进程和其创建的所有关联文件都删除。而为了保证行为分析引擎的快速高效,我们记录每个进程关联的文件的时候只记录了其生成的PE文件,非PE文件不予以记录,因为我们认为病毒创建出来的非PE文件对于用户来说影响要远远小于PE文件。因此在这类病毒创建完桌面图标以后点击“删除”按钮,可能会出现那些假图标删不掉的情况。
后续我们会根据用户的反馈将这类影响用户桌面美观的文件也视为病毒一起删除。