查看: 12770|回复: 22
收起左侧

[微点] 【20170513已更新特征库】关于微点主防防御wannacry“勒索病毒”的简要提示

[复制链接]
littlefritz
发表于 2017-5-13 22:36:53 | 显示全部楼层 |阅读模式
本帖最后由 littlefritz 于 2017-5-14 22:12 编辑

经过测试,微点主防3月的主程序和特征库
(1)无法事前识别,即,未入库,也无法通过虚拟+启发发现。
(2)可以通过主防,事后清理蠕虫主程序和衍生物,且回滚较为彻底,库文件和可执行文件均删除,留下蠕虫的一些配置文件。
(3)被篡改的文件无法回滚或修复,系统内非核心的部分,测试文件均被加密,无法读取。
结论:微点主防无法事前清除病毒,病毒文件成功执行,测试的文本文档全部被加密,但事后微点可以识别病毒为“未知木马”。故微点无法阻止病毒行为,无法修复文件,但能清除病毒。因此可以认为针对此类病毒,其侦测逻辑不够完美,拦截点较为靠后,不能有效防御此病毒。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a445441
发表于 2017-5-13 22:45:24 | 显示全部楼层
上午我就测试了,微点拦截失败,哎 微点服务器又出问题了,又升级不了
littlefritz
 楼主| 发表于 2017-5-13 22:56:13 | 显示全部楼层
a445441 发表于 2017-5-13 22:45
上午我就测试了,微点拦截失败,哎 微点服务器又出问题了,又升级不了

事实上我觉得在没有病毒库的情况下,微点做的也不算太差。毕竟从行为上来讲,批处理修改文件这种行为应该是灰名单里面的,难以识别意图。这次微点时候拦截我看也不是因为修改文件的模型,而是病毒操作了正常情况下不应该操作的系统文件和共享服务,而被侦测拦截,这种行为是很典型的异常行为,就容易拦截了。
a445441
发表于 2017-5-14 09:02:32 | 显示全部楼层
littlefritz 发表于 2017-5-13 22:56
事实上我觉得在没有病毒库的情况下,微点做的也不算太差。毕竟从行为上来讲,批处理修改文件这种行为应该 ...

微点貌似前面更新过拦截敲竹杠的规则,但是我虚拟机恢复,微点服务器出问题升级不了,不知道升级后会拦截到什么地步
ft_8001
发表于 2017-5-14 15:34:01 | 显示全部楼层
我是满怀希望的来看看。可惜!现实是残酷的~~
littlefritz
 楼主| 发表于 2017-5-14 17:42:20 来自手机 | 显示全部楼层
我现在好奇微点是否可以事前阻止病毒通过漏洞入侵,有木有童鞋可以试试看
littlefritz
 楼主| 发表于 2017-5-14 22:12:01 | 显示全部楼层
2017-05-13 19:20:24微点更新病毒特征库,1.6.2896.170513已经能够通过特征检查查杀此病毒。病毒名称为Worm.Win32.WanaDecryptor.x。
a445441
发表于 2017-5-14 22:32:46 | 显示全部楼层
本帖最后由 a445441 于 2017-5-14 22:34 编辑
littlefritz 发表于 2017-5-14 22:12
2017-05-13 19:20:24微点更新病毒特征库,1.6.2896.170513已经能够通过特征检查查杀此病毒。病毒名称为Worm ...

预升级不能注册和升级病毒库, 哎
ylmfhhh
发表于 2017-5-15 11:23:50 | 显示全部楼层
a445441 发表于 2017-5-14 22:32
预升级不能注册和升级病毒库, 哎

服务器抽风吧
流水寒丶
头像被屏蔽
发表于 2017-5-15 13:22:39 | 显示全部楼层
微点真的已经死了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 10:17 , Processed in 0.130050 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表