深度看见的日本的恶性新病毒... +某的测试结果

显示全部楼层 · 发表于 2007-5-1 11:48:30

不是吧,那说明光用HIPS也不安全的

显示全部楼层 · 发表于 2007-5-1 11:50:42

好像目前有些杀软的主动防御

对改一般文件的后缀不报

如果刚好杀软不能识别这个病毒的话

呵呵

惨就一个字

aoyang兄测试的是删除了IE 声卡驱动带的某软件 winrar

我测试的时候是删除我的IE

显示全部楼层 · 发表于 2007-5-1 11:52:12

HIPS能拦截

但是问题是目前HIPS的默认规则里面

没有保护文件后缀的规则

显示全部楼层 · 发表于 2007-5-1 11:53:38

原帖由 没注册 于 2007-5-1 11:50 发表
好像目前有些杀软的主动防御

对改一般文件的后缀不报

如果刚好杀软不能识别这个病毒的话

呵呵

惨就一个字

aoyang兄测试的是删除了IE 声卡驱动带的某软件 winrar

我测试的时候是删除我的IE

刚才你给我的连接，我现在不能测试，因为是在单位上的机器上。如果中了毒我就会死翘翘了。这台机器上保存着很多文件，不能乱搞的

最多只能扫描一下

显示全部楼层 · 发表于 2007-5-1 11:57:54

我们的样本应该是同一个

还有你的免杀版本

只对杀软有用

对我的HIPS没用

显示全部楼层 · 发表于 2007-5-1 11:58:53

原帖由 aoyang 于 2007-5-1 11:46 发表
很多带主动防御都无视。
有主动防御的要测试就关闭病毒库，用主动防御来测试。如果出现变种，特征码不能识别，到时候靠主动防御的就挂了，死得好 ...

呵呵就是要挂的惨一点微点行为识别变的更强就靠这个

显示全部楼层 · 发表于 2007-5-1 12:03:50

已上报微点加层判定规则吧
ps 51放假结束再更新吧

看他51后怎么再免杀

显示全部楼层 · 发表于 2007-5-1 12:07:12

原帖由 没注册 于 2007-5-1 11:44 发表

可以看看这个帖子

http://bbs.kafan.cn/viewthread.php?tid=79147&extra=page%3D4

aoyang 兄台测试的真全面

刚才冒着砍头的危险在单位的国宝机上测试了一下。
结果让我虚惊一场，还好还好。。。。

显示全部楼层 · 发表于 2007-5-1 12:10:02

原帖由 aoyang 于 2007-5-1 12:07 发表

刚才冒着砍头的危险在单位的国宝机上测试了一下。
结果让我虚惊一场，还好还好。。。。

呵呵

就如你所说

这个样本修改的目录有限

针对的添加防后缀修改规则就可以了

哦，还有删除IE的动作

显示全部楼层 · 发表于 2007-5-1 12:10:24

eset的反应能力实在让人发狂。。。。。。。准备现在用偶的几个邮箱同时发。。。。这样会加快不少速度。。。

回复 #10 aoyang 的帖子