大家看看这个病毒，是盗号的，但是世界杀毒网都没有报毒的，好可怕！

sanhu35

这个样本我已经有好多了

sanhu35

明月几时有， 发表于 2013-1-13 12:46

不错，瑞星报了  

√×√×√√×

囧，前几天给新人同学讲解火绒和微点的差别的时候费了好大劲 ，正好这次通过这个样本来看下两者之间的差别

两者均没有开启防火墙，完全看主防

火绒 扫描安全
双击测试/最高防御下：



双击测试/默认设置下：



无论是哪种设置环境下，火绒均能成功拦截并顺利干掉进程及病毒本体


微点 扫描报毒（扫描设置启发全部最高级别）
样本一解压监控就报毒，不过通过报毒名称可以看出来是入库的特征码

为了测试其主防如何，给关键的DLL简单加了个壳 果然之后再扫描就安静了

双击测试：没了
没想到连扫描安静后，双击也跟着安静了

主防没给出任何拦截提示被过，查看进程很顺利的启动了

firefox3

√×√×√√× 发表于 2013-1-13 19:58
囧，前几天给新人同学讲解火绒和微点的差别的时候费了好大劲 ，正好这次通过这个样本来看下两者之间的 ...

+10086 很精彩期待微点粉丝的确认

tgzw1680

√×√×√√× 发表于 2013-1-13 12:58
囧，前几天给新人同学讲解火绒和微点的差别的时候费了好大劲 ，正好这次通过这个样本来看下两者之间的 ...

估计和程序本身框架有关系，微点无法通过行为库的升级来解决此类病毒，火绒的框架很好，简单的行为规则升级或者调整就可以防御此类病毒了。应该说微点更成熟，但是火绒前途更美好，除非微点整个程序框架进行升级否则对付这类病毒会是永远的痛

jefffire

√×√×√√× 发表于 2013-1-13 19:58
囧，前几天给新人同学讲解火绒和微点的差别的时候费了好大劲 ，正好这次通过这个样本来看下两者之间的 ...

火绒的拦截 怎么总有点违和感。暴风的程序究竟在不在白名单内啊？

√×√×√√×

jefffire 发表于 2013-1-13 22:01
火绒的拦截 怎么总有点违和感。暴风的程序究竟在不在白名单内啊？

囧，不在，火绒根本没白名单 囧囧

jefffire

√×√×√√× 发表于 2013-1-13 22:04
囧，不在，火绒根本没白名单 囧囧

囧  没有白名单 怎么控制。

√×√×√√×

jefffire 发表于 2013-1-13 22:10
囧  没有白名单 怎么控制。

囧，目前还是根据减少对敏感规则的触发程度来减少误报的吧，至少还没上白名单的样子 囧囧

jefffire

√×√×√√× 发表于 2013-1-13 22:19
囧，目前还是根据减少对敏感规则的触发程度来减少误报的吧，至少还没上白名单的样子 囧囧

改规则减误报 这个难度和成本太高了  除非这个规则不是人工设定的