» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 疑问   作者: 标题: 疑问 howl_home 高级用户 积分 504 发帖 500 注册 2010-10-9 #1  疑问 如果病毒把文件上传到FTP服务器以外什么都不做，主防能不能拦截？这似乎没什么危险行为啊？估计微点有点悬，传统防火墙的5号包能否拦截呢？个人觉得微点官方提供的5个规则包似乎都对于【其他软件】中的UDP不设防，（已知程序因为是直接放行我不好测试）就算是手动到如规则，你们所提供的规则也很少有关于UDP的规则。现在越来越多的病毒改用UDP也是为了躲避监控，微点应该加强相关研究，加强微点的防御能力。 http://www.kafan.cn/article-3902-1.html “截获不少以偷取被害人电脑上的文档文件为目的的病毒，除了把你的文件上传到FTP服务器以外，什么坏事都没干。但是，如果你有那么点不想被别人知道的隐私，更不想成为明天的“网络红人”，那么你的隐私大门请一定要守好! 接下来，就让我们一起看看这个专门以偷取别人隐私为乐趣的病毒吧： 起名为syn.exe，看起来好像是同步什么。运行之后毫无反应，主防也没有任何报告，难道这个文件真是干净的么? 仔细分析发现，此病毒源码用perl编写，使用Per2Exe程序转换成exe文件。病毒代码以加密的形式存储在文件里，运行时降perl代码解密出来运行。 从源码里可以看出此病毒搜索盘符B到Z中的目录，在三层以内的目录里寻找doc/xls/pdf文件并把他们复制到临时目录下，然后在Documents and Settings 或 Users 目录里重复上面的搜索。搜索结束后把搜索到的文件和保存本机用户名的文件上传到作者指定的ftp上，之后清理掉临时文件。 思路非常简单，就是“同步”走你的文件，而唯一进行的只是文件拷贝和ftp上传的操作，绝大多数主防会视其为正常。当然，你可能什么文档也没有，没什么可拿走;不过也可能同步走的是你们公司的财务报表，国家机密，或者是某年某月的肉麻情书。 ” ※ ※ ※ 本文纯属【howl_home】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 中国南海舰队核潜艇大队大队长 2011-12-2 18:10 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   感谢楼主的反馈，请问您说的病毒上传的情况需要具体的进行测试，若楼主有此样本，您可以提供一下，我们测试一下。 样本可以发送到virus@micropoint.com.cn，并且，请附上帖子链接、 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2011-12-2 18:49 howl_home 高级用户 积分 504 发帖 500 注册 2010-10-9 #3     Quote: Originally posted by Legend at 2011-12-2 18:49: 感谢楼主的反馈，请问您说的病毒上传的情况需要具体的进行测试，若楼主有此样本，您可以提供一下，我们测试一下。 样本可以发送到virus@micropoint.com.cn，并且，请附上帖子链接、 我找找看吧 ※ ※ ※ 本文纯属【howl_home】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 中国南海舰队核潜艇大队大队长 2011-12-2 19:16 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号