1   1  /  1  页   跳转

[意见建议] 提供一个过主动防御的样本和相关测试!!!!

提供一个过主动防御的样本和相关测试!!!!

测试环境:
杀软版本:21.00.50 防火墙版本:21.00.33
因为瑞星现在能查杀这个病毒,文件监控也能发现这个病毒,本测试主要针对主动防御,
所以关闭了文件监控,系统加固和恶意行为检测均为最高级别。



系统环境:WINXP SP3和到现在的全部补丁
主动防御的提示:







然后提示在各个根目录下生成AUTORUN.INF和C:\Documents and Settings\*.pif,太多没有各个截图

测试结果:
时间没有被修改
驱动没有被加载
AUTORUN.INF没有生成

但是
没有拦截和各个盘目录下的HBL的文件和C:\Documents and Settings\*.pif和C:\Program Files\*.pif



双击托盘打开瑞星自动被关闭

还有病毒进程存在


安全模式和映像劫持被破坏


替换C:\WINDOWS\system32\dllcache\wuauclt.exe

自动下载C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\*\*.exe(21.00.33防火墙也没提示)

相关建议:
建议增加对C:\WINDOWS\system32\dllcache的保护,毕竟这里是WINDOWS文件保护的地方,地方也是很受病毒欢迎的
增加对C盘根目录的保护,毕竟像boot.ini等那个也是非常重要的

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA; TheWorld)
最后编辑最硬的石头 最后编辑于 2008-09-15 17:23:51
分享到:
gototop
 

回复:提供一个过主动防御的样本和相关测试!!!!

beep.sys没被破坏?瑞星也挂?
gototop
 

回复: 提供一个过主动防御的样本和相关测试!!!!

上样本,没有测试那些*.pif

附件附件:

文件名:mm.rar
下载次数:252
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-15 17:21:55
描述:rar

gototop
 

回复:提供一个过主动防御的样本和相关测试!!!!

关键不是增加样本, 而是加强保护。。
gototop
 

回复:提供一个过主动防御的样本和相关测试!!!!

听听工程师14 的口气就好像吧样本加入病毒库就完了?
gototop
 

回复 6F cashcow 的帖子

这个病毒瑞星在测试的时候已经能查杀,我是关掉文件监控的
gototop
 

回复:提供一个过主动防御的样本和相关测试!!!!

您的问题我们已收集,感谢您的支持。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT