一个可以过很多著名引擎的“小文件”

sinohlk

如题，这个文件名叫ravsys.exe，笔者今天用Microsoft Forfront Client Security快速扫描时，发现查着查着不动了，仔细一看认清了这个文件的路径，凭笔者对Windows系统文件名字的熟悉认知程度，觉得这个文件可疑，顿时产生了兴趣，于是用一新U盘将这个文件复制下来。当时在虚拟机里安装了金山毒霸2008的“888小时”免费版，备份好样本之后，双击此文件开始运行，文件释放三个dll后，自我删除，金山网镖弹出提示窗口，是否允许ravsys.exe连接互联网。金山毒霸引擎版本2008.1.14.15，病毒库版本2008.8.18.17，自动文件防护查出一个dll为风险软件，剩下两个毫无声色的进入了system32下的drivers目录。
后来笔者又在另一个同样的测试环境虚拟机里安装了江民2008下载版。并更新到最新版11.0.706，运行病毒文件，主动防御提示（还不错），然后查处两个隐藏进程，但有一个被过，在system32下的drivers里。
笔者再试Symantec endpoint protection MR2 MP1版本，更新到最新版（忘了看版本），但是扫描文件提示没有发现安全风险！！！

然后笔者预想瑞星2008的表现估计也不比以上三者强到哪去，果然在VirusTotal.com和VirScan里上传病毒样本，扫描结果见附图。






还需要说明的一点就是：在虚拟机重启后，测试的所有杀软都打不开了，看来属于AV终结者类型家族。

由于时间匆忙，没有对虚拟机进行截图（忘了  ）

令我奇怪的是，在VirusTotal和VirScan里同样的杀软扫描结果竟然不同？～～！！

就先写到这吧～～

提示一点：测试病毒有风险，爱好者们可不要在主系统里测试啊！！！！

由于

病毒样本在附件里，由于我有上传文件大小限制，只能分块上传了。

无尽藏海

额……重新打包……送给铁壳

[ 本帖最后由 无尽藏海 于 2008-8-18 20:03 编辑 ]

BING126

McAfee  miss

syfwxmh

卡巴2009立体防御
可以防住

TO KL

303898443

卡巴454没事。

zdlzp

微点杀,有名字了

放下那头萝莉

Microsoft Forfront Client Security
在哪里下载  给个内存占用评测吧

强悍到极致的杀软么...

傻猪猪米走鸡

楼上的那个东西……我下载过……没舍得装……跟WD差不多吧，估计……

luxiao200888

结果不同可能是病毒库版本的问题吧～

sinohlk

Microsoft Forfront Client Security 是集成了Microsoft Windows Defender和Windows Live OneCare的一个安全管理软件，他们有实施监控功能，和Windows完美集成，但是没有右键快捷扫描选项，得通过某种第三方的方式调用，比如IE。

使用过程中，占内存可不小。配置低的建议不要使用。

微点主动防御软件很不错，我在测试Ravsys期间，在主机里一打开含有Ravsys文件的文件夹，它就被微点提示并隔离了。
再次提示，测试病毒一定要在虚拟机或者沙盘里进行。面得造成不必要的损失！～～～

不过有麻烦可以PM我呦！～～

原帖由 放下那头萝莉 于 2008-8-18 20:06 发表
Microsoft Forfront Client Security
在哪里下载  给个内存占用评测吧

强悍到极致的杀软么...

另外说一点，本人正在寻求蓝盾360论坛的邀请码，还望各位不吝赐给！～～