kv2009沙盒模式對(duì)抗“掃蕩波”病毒

gao0907

kv2009沙盒模式對(duì)抗“掃蕩波”病毒
江民科技最新推出的KV2009新品, 國(guó)內(nèi)首家應(yīng)用了最新的反病毒“沙盒技術(shù)”，能夠?qū)㈦娔X病毒在操作系統(tǒng)上面的操作痕跡全部“抹掉”，恢復(fù)到原來(lái)的正常狀態(tài)。KV2009的“沙盒”技術(shù)到底怎么樣？今天讓我們來(lái)直觀的測(cè)試一下，揭開(kāi)江民殺毒軟件KV2009“沙盒技術(shù)”的廬山真面目。
   “掃蕩波”病毒資料：
　　
   “掃蕩波”又稱(chēng)為“代理木馬”變種（Trojan/Agent.asxo），這是一個(gè)通過(guò)微軟最新RPC漏洞（微軟MS08-067漏洞）進(jìn)行傳播的木馬。病毒運(yùn)行后，遍歷局域網(wǎng)中所有電腦并發(fā)起攻擊，如果被攻擊電腦系統(tǒng)存在微軟MS08-067漏洞，則會(huì)自動(dòng)執(zhí)行病毒代碼，遠(yuǎn)程下載一個(gè)“下載者”木馬病毒，借助該木馬遠(yuǎn)程下載其它的游戲盜號(hào)木馬以及“掃蕩波”（“代理木馬”變種Trojan/Agent.asxo）本身，被攻擊的染毒電腦本身也開(kāi)始成為病毒攻擊主體，由此展開(kāi)對(duì)電腦的循環(huán)攻擊。
     據(jù)了解，如果局域網(wǎng)中有電腦還沒(méi)有打好微軟MS08-067補(bǔ)丁，一旦被病毒掃描發(fā)現(xiàn)，瞬間便受到蠕蟲(chóng)病毒侵襲，成為被黑客遠(yuǎn)程控制的幫兇，并會(huì)主動(dòng)去攻擊其他用戶(hù)的電腦。其危害和傳播形式與猖獗一時(shí)的“沖擊波”、“震蕩波”非常相似。
     一、 選擇病毒樣本
     本次測(cè)試，本人在虛擬機(jī)上選擇了最新截獲的“掃蕩波”病毒（江民殺毒軟件報(bào)為T(mén)rojan/Agent.asxo），如圖，打開(kāi)壓縮后的文件名為new34.exe.

二、手工掃描
     先用江民殺毒軟件KV2009手工掃描了一下病毒樣本，掃描發(fā)現(xiàn)病毒，報(bào)告的病毒名為T(mén)rojan/Downloader.Agent. asxo。

掃描結(jié)果顯示病毒文件被刪除。
    三、那么現(xiàn)在我們關(guān)閉所有的監(jiān)視。只開(kāi)啟主動(dòng)防御系統(tǒng)看看。

看一下主動(dòng)防御模式設(shè)置：

一切無(wú)誤后我們運(yùn)行一下病毒程序：

江民智能主動(dòng)防御已截獲次此病毒程序的所有行為動(dòng)作，這時(shí)我們只要選擇“阻止運(yùn)行時(shí)刪除該程序及其創(chuàng)建的文件”，點(diǎn)“阻止運(yùn)行”，病毒所產(chǎn)生的一切文件以及危害系統(tǒng)安全的行為都將被“抹去”。再次運(yùn)行病毒，為了更直觀的看看江民KV2009內(nèi)核級(jí)自我保護(hù)的效果，我們選 “允許”。
    病毒已經(jīng)運(yùn)行，等待幾分鐘，讓病毒有充分的運(yùn)行時(shí)間，實(shí)現(xiàn)其所有功能!

我們嘗試打開(kāi)實(shí)時(shí)監(jiān)控,發(fā)現(xiàn)依然有效.



內(nèi)存掃描正常并把病毒加入重啟刪除隊(duì)列!
   重新演示，這次我們選擇智能主動(dòng)防御模式的“阻止運(yùn)行時(shí)刪除該程序及其創(chuàng)建的文件”，點(diǎn)“阻止運(yùn)行”，結(jié)果所有病毒的動(dòng)作以及寫(xiě)下的文件全部被阻止和刪除，

搜索一下，查找病毒釋放的文件，搜索結(jié)果為空，沒(méi)有發(fā)現(xiàn)病毒留下的任何文件

對(duì)電腦進(jìn)行全盤(pán)掃描,我們可以看見(jiàn),病毒程序根本沒(méi)有對(duì)計(jì)算機(jī)系統(tǒng)造成任何威脅.病毒程序的行為已經(jīng)抹去.

掃蕩波病毒是微軟通過(guò)“黑屏”方式打擊盜版之后利用windows嚴(yán)重RPC MS08-067漏洞來(lái)傳播的蠕蟲(chóng)病毒，已關(guān)閉系統(tǒng)自動(dòng)更新的用戶(hù)請(qǐng)使用江民KV2008/2009的漏洞掃描功能來(lái)安裝KB958644補(bǔ)丁來(lái)修復(fù)此漏洞。
    建議廣大計(jì)算機(jī)用戶(hù)一定要及時(shí)升級(jí)病毒庫(kù)，開(kāi)啟殺毒軟件全部監(jiān)控以及智能主動(dòng)防御系統(tǒng), 仔細(xì)留意主動(dòng)防御系統(tǒng)的提示，在遇到提問(wèn)時(shí)要認(rèn)真對(duì)待。同時(shí)建議用戶(hù)開(kāi)啟江民防火墻封堵TCP445端口來(lái)防御此蠕蟲(chóng)病毒的攻擊。