查看: 3879|回复: 5
收起左侧

[BUG反馈] 火绒处理sality的一个小BUG

[复制链接]
786556605
发表于 2019-12-18 13:36:14 | 显示全部楼层 |阅读模式
sality.c启动后用会,插入线程到正常程序的进程中,让正常的程序作恶感染其他文件    火绒无法在《系统进程》中扫描到被病毒插入的线程。
例如:winrar 程序被sality插入线程,释放病毒文件,每间隔1分钟左右火绒拦截一次   

卡巴的salitykill专杀程序可以处理有毒的线程



这里有虚拟机的快照可以还原当前情况

链接: https://pan.baidu.com/s/1C6VTosWYpI-1YtrIc8eTNw 提取码: 4kjt



把快照恢复到  winrar进程被注入病毒就可以 看到中毒情况



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
火绒工程师
发表于 2019-12-18 13:56:31 | 显示全部楼层
楼主您好,您这边全盘查杀是否可以处理相关病毒呢?
786556605
 楼主| 发表于 2019-12-18 15:19:55 | 显示全部楼层
本帖最后由 786556605 于 2019-12-18 15:21 编辑
火绒工程师 发表于 2019-12-18 13:56
楼主您好,您这边全盘查杀是否可以处理相关病毒呢?

可以查杀,但是咱们不能满足于此止步不前吧,
  正常进程被注入恶意的线程会有恶意行为也容易造成启发式杀毒误杀。
下载虚拟机后还原快照,用卡巴斯基杀一下,对比一下在病毒运行时卡巴的查杀效果。
卡巴的专杀工具salitykill大小不到200K就有对进程扫描的处理能力。
扫描系统进程 难道只是扫描一下这个程序文件不扫描一下他的线程?
hup
发表于 2019-12-18 16:59:50 | 显示全部楼层
786556605 发表于 2019-12-18 15:19
可以查杀,但是咱们不能满足于此止步不前吧,
  正常进程被注入恶意的线程会有恶意行为也容易造成启发式 ...

火绒监控可能不会监控线程
火绒工程师
发表于 2019-12-19 13:16:33 | 显示全部楼层
786556605 发表于 2019-12-18 15:19
可以查杀,但是咱们不能满足于此止步不前吧,
  正常进程被注入恶意的线程会有恶意行为也容易造成启发式 ...

收到,您反馈的情况已提交给产品部门考量,感谢您的反馈~
火绒工程师
发表于 2020-2-10 09:42:46 | 显示全部楼层
您好,您的建议收录,后期将进行综合考虑,感谢您的反馈~




【需求ID928】
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 05:13 , Processed in 0.125473 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表