Board logo

标题: ★★★新木马,尽快完善行为判断,而不是特征码解决 [打印本页]
作者: win98sp123     时间: 2010-10-10 19:58    标题: ★★★新木马,尽快完善行为判断,而不是特征码解决

首先看这个帖子
  http://bbs.micropoint.com.cn/showthread.asp?tid=75252&fpage=1
   微点未升级到最新版本之前,是可以发现的,但是不能有效查杀,导致重启系统瘫痪,进不去安全模式,在我给官方发样本后,很快的得到了回复,赞一个,微点的效率和认真的态度,非常的好。更新后微点报:
  

  但是,今天更新后,可以查杀了,但是,我还是想追根问底,到底是行为查杀还是特征码?
  首先,我在机器上临时安装360杀毒,用MYCLL来找特征码:结果如下:
  (验证过程我就不多说了)
  

    退出360,改微点,结果同样出现了特征码,但是和360的特征码不一样:
   

   出现这样的结果,我想有几种情况:1,我的方法不对,其实微点还是靠的是行为(但是MYCLL里为什么会有特征码查到?)2,对于这个木马,微点暂时还是用的特征码来解决,因为时间关系(毕竟1天之后更新就可查杀),还未加入行为判断库。以后会完善该种木马的行为判断。3.只是加入特征码,没有行为判断。微点主防有一部分还是靠特征码。另外一部分靠行为。
  我想说的是:对于像这样在有主防的情况下,仍然导致系统瘫痪的木马,是微点的一个重点,是作为行为判断逻辑的重点工作,而不应该单纯的靠加入特征码来解决,这样,微点才能不断的强大,否则,随便加个壳,改了特征码,免杀是很简单的,但是,这样免杀的木马,后果又是非常严重的。
  写到这里,送大家一段视频,一个很老的木马,灰鸽子,大家都熟悉吧,看看作者几分钟做到360免杀,我想看了这个视频,也就是为什么刘旭所说的,特征码云查杀不是救世主,主动防御才是靠的住的。
  视频地址:
   http://video.sina.com.cn/v/b/35972694-1767269917.html#35972694
   还是老话,行为判断是主,尤其是后果严重的行为,不能单纯靠特征码。希望微点加油。。。
作者: Legend     时间: 2010-10-10 21:13
感谢楼主的反馈,微点主防本身是以依据程序行为判断病毒为主,以特征码扫描为辅的安全软件,也就是说主防还是有一部分特征码的。
至于楼主的建议,我们会努力的去实施,感谢楼主对微点软件的支持。
作者: f8312519     时间: 2010-10-11 14:35
确实.如果光加特征码.根本意义不大.别人随便加个壳又过了!!
期待微点努力把这些不能杀的病毒分析行为规则.只有加入行为规则才能防范变种



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn