火绒处理sality的一个小BUG

显示全部楼层 · 发表于 2019-12-18 13:36:14

sality.c启动后用会，插入线程到正常程序的进程中，让正常的程序作恶感染其他文件火绒无法在《系统进程》中扫描到被病毒插入的线程。
例如：winrar 程序被sality插入线程，释放病毒文件，每间隔1分钟左右火绒拦截一次

卡巴的salitykill专杀程序可以处理有毒的线程

这里有虚拟机的快照可以还原当前情况

链接: https://pan.baidu.com/s/1C6VTosWYpI-1YtrIc8eTNw 提取码: 4kjt

把快照恢复到 winrar进程被注入病毒就可以看到中毒情况

显示全部楼层 · 发表于 2019-12-18 13:56:31

楼主您好，您这边全盘查杀是否可以处理相关病毒呢？

显示全部楼层 · 发表于 2019-12-18 15:19:55

本帖最后由 786556605 于 2019-12-18 15:21 编辑

火绒工程师发表于 2019-12-18 13:56
楼主您好，您这边全盘查杀是否可以处理相关病毒呢？

可以查杀，但是咱们不能满足于此止步不前吧，
正常进程被注入恶意的线程会有恶意行为也容易造成启发式杀毒误杀。
下载虚拟机后还原快照，用卡巴斯基杀一下，对比一下在病毒运行时卡巴的查杀效果。
卡巴的专杀工具salitykill大小不到200K就有对进程扫描的处理能力。
扫描系统进程难道只是扫描一下这个程序文件不扫描一下他的线程？

显示全部楼层 · 发表于 2019-12-18 16:59:50

786556605 发表于 2019-12-18 15:19
可以查杀，但是咱们不能满足于此止步不前吧，
正常进程被注入恶意的线程会有恶意行为也容易造成启发式 ...

火绒监控可能不会监控线程

显示全部楼层 · 发表于 2019-12-19 13:16:33

786556605 发表于 2019-12-18 15:19
可以查杀，但是咱们不能满足于此止步不前吧，
正常进程被注入恶意的线程会有恶意行为也容易造成启发式 ...

收到，您反馈的情况已提交给产品部门考量，感谢您的反馈~

显示全部楼层 · 发表于 2020-2-10 09:42:46

您好，您的建议收录，后期将进行综合考虑，感谢您的反馈~

【需求ID928】

[BUG反馈] 火绒处理sality的一个小BUG

本帖子中包含更多资源