延迟发作型病毒对微点威胁很大

dsl5

微点是行为组合分析的，即在一段时间或者记录里，把某程序要执行的所有行为组合起来判断，微点通过行为风险估算统计程序的总风险！

例如:a行为风险值为10，b行为风险值为20....................假设微点的单一可疑行为报警的标准是:40，那么当一个行为超过40，微点就报警可疑行为；假设微点的联动分析报警总标准是：80，那么a+b+c+d+............的值达到80微点就报警！

但是存在一个问题，这个判断是有时效性的，它不可能永远拦截一个程序不放行！在瞬间的连续行为观察中（瞬间的连续行为即从程序运行到退出之间的行为），总风险值未超标，就判断为正常（不报警），放行之后继续观察，估计观察时间为1分钟到30分钟不等（猜测），当观察期间该程序有新行为执行就估算该单一行为风险，而不再联动分析，只要单一没有超过40就不报，否则报！
http://bbs.micropoint.com.cn/showthread.asp?tid=19775&fpage=1

当观察时段过后，程序再有行为，则重新组合分析，2次分析不与1次分析联系，结果是独立的！

这就有一个问题，病毒不马上一股脑全部执行，病毒保证单一行为不超标的情况下，对病毒代码分段执行，则微点会每次都独立分析，但是总是不超标，没有报警，最后被过！

还有一种情况：程序A生成病毒程序B，病毒程序B一开始运行就执行延时，延时到微点的观察时段结束后再执行恶意行为，在观察期内B没有恶意行为，因此连带A不被杀！在下一个观察期执行恶意行为期间B可能会被杀，但是由于这时的结果不与前一个观察期结合，所以给A钻空子逃掉！（这些主要是应用于病毒还没“更新”时拖延的手段）

很多反映过微点的都被认为没有恶意行为，那么我每个时段都执行一个半恶意行为呢？ 最后的结果还是恶意！

ttdown

那个帖子的2楼版主不是说报了吗。
＝＝＝＝＝＝＝＝＝＝＝＝＝
点评
　　此病毒为典型的延时型病毒，微点病毒上报邮箱接到用户反馈称该病毒运行后微点没有报警。经技术分析确认，微点没有立即报警是由于定时器原因：从病毒激活到定时器计时结束之间没有任何的病毒行为，因此微点在病毒运行后没有立即报警属于正常情况。而一旦定时器到期后，微点主动防御软件分析发现病毒试图做出病毒行为时，微点立即进行处理并向用户报警告知。图1所示即为该病毒运行约20分钟后，微点主动防御软件报警示意图。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝

wyrmboy

病毒有固定的行为方式～（虽然现在不少所谓的正常软件也有类似的病毒行为）

dsl5

这个是我用来举例的，这个病毒典型是单一行为超标，设计得还不够绝 主要是供大家了解一下延时型病毒，毕竟这类病毒过微点的还是存在那么几个的！因为它们技术思路好，要找到例子比较困难

wyrmboy

所以需要配合个性能不错的扫描器～没事扫扫～

pie-pizza

楼主说的“例如:a行为风险值为10，b行为风险值为20....................假设微点的单一可疑行为报警的标准是:40，”  这是采用加权值的判断方法。记得以前金山曾经说过要用这种方法。但看他新版好像不是加权值的方法。加权值的方法在安全上只有垃圾邮件过滤经常采用，这种方法的弊端是权值的数值大小非常难以确定，所以漏掉和误拦截就非常的高，而不是一般的高。

bridgewr

其实这也是楼主的一种猜测,因为大家并不清楚微点的报毒原理,那么就找一个高手利用楼主的思路来做一个样本,看看楼主的猜测是否正确.

cocplay

这个帖子还是有一定的分析价值的，毕竟病毒的更新换代总是在杀软之前先一步，新病毒的出现很多杀软在前期都没法预防的！

1workstar

好专业啊

pan46709394

看不懂，支持楼主的钻研精神