SSM2.0.0.559对付Rootkit仍有缺憾
Syssafety昨天发布了最新(可能也是最后)一个测试版SSM 2.0.0.559。据称在对付Rootkit木马方面有所改进(详见其“What's New”)。而且解决了与IceSword的驱动冲突问题。
今天,装上这个最新测试版后,用一个不算新的Rookit试了试。结果:如果在装SSM前已经感染了这个Rootkit木马,SSM并不能有效阻止其加载运行。
测试步骤如下:
1/先在系统中种植Rootkit木马ray.exe。
2/安装SSM 2.0.0.559。启动所有模块监控,并在应用程序规则中添加两条规则,分别阻止这个Rootkit的.dll和.sys加载(见附图)。最后,将SSM设置为启动加载。
3/重启系统。
结果发现那个Yusapxzf.dll和Yusapxzf.sys还是加载运行了。卡巴斯基也报警,但杀不掉。
因此,敬告SSM 2.0.0.559用户:不要太相信SSM这个版本的Rootkit防护能力。
最后,我还是用IceSword收拾了这个Rootkit。
