查看: 11668|回复: 102
收起左侧

[微点] 声明:枪手死全家

  [复制链接]
y576926046
发表于 2010-5-11 15:07:55 | 显示全部楼层 |阅读模式
本帖最后由 y576926046 于 2010-5-11 16:31 编辑

今天看到卡饭评测区的结果,微点套装98%查杀率

由于本人的综合症比较严重,所以卸载了红伞,装了微点

我装的是套装,也就是说微点主动防御还有微点杀毒我全部装了

文件名:mp.100506.1.2.10581.0284.r1(解压缩后的MD5:7BDC1316983A8F678F31FA9EC6006C6F)

文件名:MPAV.100427.1.2.10582.0167.r1(解压缩后的MD5:F04A9AEC91F0D6B6DD861B3EDBA8C223)


杯具来了,为了测试杀软的效果,咱去了样本区


下载了N多个样本,然后微点杀毒一个没报(在我之前的也有好多人截图说杀毒提示没毒)

无奈,我就实机运行了一下,杯具发生了,某卫士报的欢,微点没反应

(时间 处理结果 木马名称 木马进程名 木马文件创建者
2010-05-11 14:30:34 处理成功 Backdoor.Win32.Popwin.a C:\USERS\XIAOHU\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\YJP1IZ2N\BAIDUAD[1].JPG C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE
2010-05-11 14:30:34 处理成功 未知木马 C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE C:\WINDOWS\SYSTEM32\WSCRIPT.EXE
2010-05-11 14:30:29 处理成功 Backdoor.Win32.Popwin.a C:\WINDOWS\SVHOST0.EXE C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE
2010-05-11 14:30:28 延时删除 Backdoor.Win32.Popwin.a C:\USERS\XIAOHU\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\YJP1IZ2N\BAIDUAD[1].JPG C:\WINDOWS\SYSTEM32\CONFIG\SPOOL32.EXE



最后用某卫士查杀一次,发现4个(可以理解为0,因为地址都是在垃圾箱中)

运行的中途提示了大约十来次,隔离掉了一部分


后来又用某木马专杀,第一次快速扫描除了5个,现在全盘,C盘还没扫完,扫出了4个(有两个在垃圾箱,可以理解为2个)



问:微点如何设置才能单奔?

第二问,应该用什么组合? (系统是win-7 X86) 是用红伞还是AVAST! 还是ESET……  

还有就是金山2011的云安全好像很厉害的样子



非常感谢大家对我的帮助

我用虚拟机测试了一下,在不安装某卫士的情况下,运行了最后一次测试的那个脚本,微点叫的很欢(决定关闭某卫士的全部监控)

然后第一次测试的那个病毒包,还是没报(只是说是否允许程序访问网络,然后IP地址是安徽)

评分

参与人数 1人气 +1 收起 理由
毒⑧ + 1 。。你懂得

查看全部评分

y576926046
 楼主| 发表于 2010-5-11 15:08:33 | 显示全部楼层
本帖最后由 y576926046 于 2010-5-11 15:25 编辑

下次再也不敢用实机测试病毒了………………


本来觉得麻烦,没用虚拟机……

初次

http://bbs.kafan.cn/thread-699773-1-1.html

解压缩之后某卫士直接干掉了,所以微点没有出手的机会


第一次,实机运行了其中的第一个的某一个,微点无提示,然后电脑被强行安装了有道桌面词典还有好压(暂时只发现这两个)

然后有道桌面词典多次想要修改注册表经行开机启动

微点杀毒一个没杀到(全默认,安装之后没有手动更新)

http://bbs.kafan.cn/thread-697391-1-1.html



最后一次

http://bbs.kafan.cn/thread-699605-1-2.html

我运行了其中的第一个,某卫士报了不下于十次



截图





备注:迅雷下的那个确定是误报,我上传到virscan扫描过了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cghzzz
头像被屏蔽
发表于 2010-5-11 15:13:11 | 显示全部楼层
牛人啊 我服了你了 实际玩毒 我好怕怕
......
头像被屏蔽
发表于 2010-5-11 15:13:30 | 显示全部楼层
第一、请问样本地址在哪?
第二、你装了主防没?
第三、假如你没装主防,某卫士却有主防,当某卫士拦截之后,微点当然不会报毒了呀?
unix
发表于 2010-5-11 15:13:29 | 显示全部楼层
呵呵~!有点意思
y576926046
 楼主| 发表于 2010-5-11 15:14:55 | 显示全部楼层
回复 5# ......


    一路默认,那个主动防御应该有装

然后地址很多,待会我全部贴出来


最后我估计多半和我不会设置有很大关系
smartdao
发表于 2010-5-11 15:15:23 | 显示全部楼层
楼主只用的微点杀毒吗?不明白你是怎么测试的,你以为杀毒软件都是摆设吗?就是再烂,至少得有点反应吧
jpzy
发表于 2010-5-11 15:17:14 | 显示全部楼层
微点主动防御是依靠行为分析进行查毒的。比如一个病毒,运行后首先释放一个文件到system32路径下,然后在调用这个释放出来的文件,被调用的病毒文件紧接着进行添加启动项和隐藏自身的行为。这一系列行为,在满足一定条件后(触发内部规则,阈值超过警戒值……),微点会将其认定为未知病毒,并且弹窗通知用户。

如果病毒在释放文件这一步,就被其它安软打断了,微点自然没办法判断此样本是好是坏了。

打个比方,缉毒警察怀疑一个人贩毒,于是派人跟踪他,只要认定这个人进入了某个酒店,跟某些人进行了交易,就可以认定他贩毒了。可是,在去酒店的路上,这个人驾车闯红灯,被交警扣留了。你说,对于缉毒警察来说,这个人到底是不是毒贩,能认定么?

评分

参与人数 2经验 +8 收起 理由
红烧大馋豆 + 5 解答的很形象:)
F-12 + 3 版区有你更精彩、、、

查看全部评分

......
头像被屏蔽
发表于 2010-5-11 15:24:18 | 显示全部楼层
回复  ......


    一路默认,那个主动防御应该有装

然后地址很多,待会我全部贴出来


最后我估 ...
y576926046 发表于 2010-5-11 15:14


显然没装,微点杀毒不带主防的。那么这样就明了了:你没装微点主防,这些病毒可能确实过了微点杀毒的扫描。但是你双击的时候,病毒被某卫士拦住了,当然微点杀毒有没有用也就不得而知了
y576926046
 楼主| 发表于 2010-5-11 15:24:48 | 显示全部楼层
回复 8# jpzy


    问题是我已经运行了,而且那个程序已经释放出了病毒

比如强行安装桌面词典的那个,某卫士报告有木马,清除掉之后,还像雷锋默默做好事一样,给我装了好压
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:17 , Processed in 0.135798 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表