Board logo

标题: 一点微点有待加强的地方! [打印本页]
作者: simonfour     时间: 2008-6-12 18:48    标题: 一点微点有待加强的地方!

**可疑网址已经屏蔽处理**   病毒
(原贴地址http://soft.deepin.org/read.php?tid=689002       15楼)



昨天的微点,测试版。(好像是加UPX的壳)
第一次测试。
报AA修改日期,拒绝,再报AA,为未知木马,删除,重启,没问题。

结果,没过微点的防御!






第二次测试:
报AA修改日期,放行,日期变成2000年,


再报未知木马,不删除,可疑诊断,发现生成C:\****.dat,等待5分钟,删除生成物,重启。(日期改变微点竟然没有提示过期,奇怪???)


重启后出现LZ说的情况,而且由c:\windows\explorer  生成Z1,Z2,Z3,Z4,Z55个木马(微点报已知,删除),到Z5后,系统直接重启,重启后重复生成5个木马,再直接重启(没有关机画面)。

  

其中增加了启动项BB.EXE,微点诊断没问题!!

升级微点到今天的库,升级完就报有2个病毒已经命名,重启再重启,






还是不能清除!!!汗!!!!


最后想说的是,既然微点已经能够识别这个病毒,那么是不是病毒所有的生成物都能识别(bb.exe进程微点不认识,好多都不认识),既然微点把AA这个病毒入库了,是不是也应该想一下怎么样才能在已经中毒的情况下把病毒清除(虽然微点现在还没有扫描),因为不可能做到所有的微点都装在干净的系统上,也不能保证微点不被绕过,再说了我如果帮别人维护电脑,装上微点却杀不了已知病毒,岂不是很丢脸!!!!

[ Last edited by Legend on 2008-6-12 at 19:13 ]
作者: Legend     时间: 2008-6-12 19:12
谢谢楼主的反馈,建议楼主在微点软件报警明确提示未知有害程序的时候选择删除处理,处于您的系统安全考虑,请勿选择放行。
您可以把您的样本连同您的微点软件辅助功能-生成技术支持信息导出发到virus@micropoint.com.cn我们具体测试分析。
随信请注明您的具体情况,发送完请把您的邮箱地址用论坛短消息发给我,方便对您的问题的跟踪处理。
作者: simonfour     时间: 2008-6-12 19:33
呵呵,我纯粹是为了测试才放行的,因为不放行他过不了微点。


信息就没有啦,不好意思,我用虚拟机做的测试,结果清除不了,就只能回复快照了!!!!
作者: gudan     时间: 2008-6-12 22:21
是个机器狗吧,会感染explorer,每次开机后被感染的explorer都会重新下载病毒运行,这个是卡饭上面的样本,和你的应该是同一个,似乎最新版预升级已经从行为上解决了
http://bbs.kafan.cn/viewthread.p ... p;extra=&page=1

你最好查看一下explorer有没有向外连出,如果有连出就把你的explorer替换一个正常的试试
作者: simonfour     时间: 2008-6-13 02:14
我后来从点饭看到的也有个AA的狗,可能是同一个,我知道都是explorer生成的,只是懒的折腾了,呵呵,!!
作者: 小米锅巴     时间: 2008-6-13 11:46
微点是还需要不断测试加以改进才行,不是要上市了吗.
作者: 471795251     时间: 2008-6-13 23:35
这个……
兄弟……
我帮你解释。
因为微点是靠行为的,
而且有时需要你自己帮人家判断。而你却错误的判断,那人家能不错吗??
作者: yuanye     时间: 2008-6-14 18:58
楼主不要太苛求微点了,微点是让你在发现病毒行为的时候做出判断,而不是让你在病毒行为已经发生后再来补救,如果病毒运行后删除系统文件,微点就算天大的本事那也很难换救啊。
作者: simonfour     时间: 2008-6-15 17:36
我只是想让微点更强,没别的意思。
而且我认为我对微点已经很了解了,我并没有让微点在系统文件都被破坏的情况下起作用,但是就我做的这个测试来说,既然已经由explorer生成了微点抱已知的病毒,那么微点就应该对explorer做出处理,但是没有,
我观察了一下这个病毒,EXPLORER被感染(具体技术上的我不太清楚,但是可以肯定的是已经被病毒利用了),system32下有3个DLL文件,我认为可以完全清除的。只是没有再去手工折腾了。

再说一点,没别的意思,只是事实,。
我后来又在虚拟机里面测试了江民,14号的病毒库一点反映都没有就中了,日期也被改了,但是我就利用江民自身的功能完全清除了,可疑文件诊断,加样本库,BOOTSCAN,我一直很喜欢江民就上因为这个!!

微点的防御绝对比江民强,但是江民也有很多微点可以借鉴的地方,。

希望微点越来越好!!!
作者: 046569     时间: 2008-6-15 19:57
感谢simonfour的测试,微点有你会更好!
如果有了新的进展,欢迎随时Q我:41412418
作者: simonfour     时间: 2008-6-15 23:01


  Quote:
Originally posted by 046569 at 2008-6-15 19:57:
感谢simonfour的测试,微点有你会更好!
如果有了新的进展,欢迎随时Q我:41412418

哈哈,受宠若惊啊,!!!:lol:



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn