一个可以过很多著名引擎的“小文件”
如题,这个文件名叫ravsys.exe,笔者今天用Microsoft Forfront Client Security快速扫描时,发现查着查着不动了,仔细一看认清了这个文件的路径,凭笔者对Windows系统文件名字的熟悉认知程度,觉得这个文件可疑,顿时产生了兴趣,于是用一新U盘将这个文件复制下来。当时在虚拟机里安装了[color=red]金山毒霸2008的“888小时”免费版[/color][color=black],备份好样本之后,双击此文件开始运行,文件释放三个dll后,自我删除,金山网镖弹出提示窗口,是否允许ravsys.exe连接互联网。[color=blue]金山毒霸引擎版本2008.1.14.15[/color],[color=blue]病毒库版本2008.8.18.17[/color],自动文件防护查出一个dll为风险软件,剩下两个毫无声色的进入了system32下的drivers目录。[/color]后来笔者又在另一个同样的测试环境虚拟机里安装了[color=red]江民2008下载版[/color]。并更新到最新版[color=blue]11.0.706[/color],运行病毒文件,主动防御提示(还不错),然后查处两个隐藏进程,但有一个被过,在system32下的drivers里。
笔者再试[color=red]Symantec endpoint protection MR2 MP1[/color]版本,更新到最新版(忘了看版本),但是扫描文件[color=blue]提示没有发现安全风险!!![/color]
[color=#0000ff][/color]
[color=#0000ff]然后笔者预想瑞星2008的表现估计也不比以上三者强到哪去,果然在VirusTotal.com和VirScan里上传病毒样本,扫描结果见附图。[/color]
[color=#0000ff][attach]338098[/attach][/color]
[color=#0000ff][/color]
[color=#0000ff][/color]
[color=#0000ff][/color]
[attach]338099[/attach]
[color=#0000ff][/color]
[color=#0000ff]还需要说明的一点就是:在虚拟机重启后,测试的所有杀软都打不开了,看来属于AV终结者类型家族。[/color]
[color=#0000ff][/color]
[color=#0000ff]由于时间匆忙,没有对虚拟机进行截图(忘了[:05:] )[/color]
令我奇怪的是,在VirusTotal和VirScan里同样的杀软扫描结果竟然不同?~~!!
就先写到这吧~~
提示一点:测试病毒有风险,爱好者们可不要在主系统里测试啊!!!!
由于
病毒样本在附件里,由于我有上传文件大小限制,只能分块上传了。 额……重新打包……送给铁壳
[[i] 本帖最后由 无尽藏海 于 2008-8-18 20:03 编辑 [/i]] McAfee miss[:08:] 卡巴2009立体防御
可以防住
TO KL 卡巴454没事。 微点杀,有名字了[:15:] Microsoft Forfront Client Security [:08:]
在哪里下载 给个内存占用评测吧
强悍到极致的杀软么... 楼上的那个东西……我下载过……没舍得装……跟WD差不多吧,估计…… 结果不同可能是病毒库版本的问题吧~ Microsoft Forfront Client Security 是集成了Microsoft Windows Defender和Windows Live OneCare的一个安全管理软件,他们有实施监控功能,和Windows完美集成,但是没有右键快捷扫描选项,得通过某种第三方的方式调用,比如IE。
使用过程中,占内存可不小。配置低的建议不要使用。
微点主动防御软件很不错,我在测试Ravsys期间,在主机里一打开含有Ravsys文件的文件夹,它就被微点提示并隔离了。
再次提示,测试病毒一定要在虚拟机或者沙盘里进行。面得造成不必要的损失!~~~
不过有麻烦可以PM我呦!~~[:01:]
[quote]原帖由 [i]放下那头萝莉[/i] 于 2008-8-18 20:06 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4533948&ptid=309373][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
Microsoft Forfront Client Security [:08:]
在哪里下载 给个内存占用评测吧
强悍到极致的杀软么... [/quote]
另外说一点,本人正在寻求蓝盾360论坛的邀请码,还望各位不吝赐给!~~ 卡巴454 查毒完全miss,估计得运行一下靠主动防御来拦截。反正这东西不成功 便成仁,偶就不试了。。
冰岛查出木马,Eldorado!启发引擎扫到的~
-----------------------------SCAN REPORT-----------------------------
F-PROT for Windows
防病毒扫描引擎版本号: 4.4.4
病毒库: 2008-8-18, 15:58
扫描名称: 11
路径扫描: D:\my iso\|
详细扫描
也可以扫描: 子文件夹, 压缩文件, 数据流
已开始扫描: 2008-8-18, 20:45:50
---------------------------------------------------------------------
[发现后门:] <W32/Hupigon.G.gen!Eldorado (not disinfectable, 普通)> D:\my iso\RAVSYS.rar->RAVSYS\RAVSYS\RAVSYS.EXE
--------------------------------------------------------------------- 还没下完avast就报了。。。 avast! 杀之 KIS2009 主动防御报警!
3/0
RS20.58.02未杀![:14:] 危险进程(PID:1236): D:\Sandbox\Administrator\Virus\user\current\Local Settings\Temp\Rar$EX02.296\RAVSYS\RAVSYS\RAVSYS.EXE产品名称: 无
文件版本: 无
公司名称: 无
文件描述: 无
数字签名: 没有发现签名
危险级别: 中
级别评分: 46.18880
状态: 进程已被结束,但还没有清除,等待进一步处理。
在线扫描发现它不是有害程序,但这并不能肯定此文件是百分之百安全的。你可以信任它,但如果你认为它是不可信的也可以删除它。 [quote]原帖由 [i]放下那头萝莉[/i] 于 2008-8-18 20:06 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4533948&ptid=309373][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
Microsoft Forfront Client Security [:08:]
在哪里下载 给个内存占用评测吧
强悍到极致的杀软么... [/quote]
就是
onecare的杀毒+windows defender的主防啦(类似于sandboxie的虚拟机机制)
界面都和defender一样的 正在扫描日志
病毒库版本: 3365 (20080818)
日期: 2008-8-30 时间: 0:51:57
已扫描的磁盘、文件夹和文件: G:\v\RAVSYS.rar
G:\v\RAVSYS.rar > RAR > RAVSYS\RAVSYS\RAVSYS.EXE - 可能是 Win32/Genetik 特洛伊木马 的变种 - 是已删除对象的一部分
已扫描的对象数: 1
发现的威胁数: 1
已清除对象数:1
完成时间: 0:52:01 总扫描时间: 4 秒 (00:00:04)
一个可以过很多著名引擎的“小文件”
卡巴拦截动作 问下楼上[:11:] 低受限自动处理结果如何
页:
[1]
2