kv主动防御检测

gouying0907

kv主动防御检测
通过案例来考验考验Kv2008以及我们设定的主动防御规则，看看其是否拦截恶意软件和未知病毒。
　　
　　为了更好的展示Kv2008主动防御和防范未知病毒的能力，本例操作时是关闭了Kv2008的文件监控的，否则病毒还没运行就被江民消灭了哦。
　　
　　本例运行了C盘根目录下的一个名为windows.exe的灰鸽子木马（灰鸽子是最常见的木马病毒之一，有变种多，隐蔽性强的特点），江民主动防御的预定义规则立刻报警。　　

为了更好的演示Kv2008的功能，我先选择允许。接着可以看到我刚才手动设置的防御规则起作用了，如图13出现自定义规则提示。

接着出现了如图14和图15的自定义规则报警，我们可以清晰的看到木马试图运行一个名为UNINSTAL.BAT的批处理文件，并试图通过cmd.exe调用文件，木马的一举一动都逃不过Kv2008的眼睛！


再举一个例子，刚刚在网上下载了一个软件，由于是在不知名的小网站下载的，下载后发现文件名为ad769.exe,只有100多K,有经验的朋友已经猜到了这很可能是一个广告程序，我们再拿Kv2008来测试一下，运行后果然出现如图16的报警，还是我自定义的规则呢。我们可以清楚的看到其正在试图通过regsvr32.exe注册组件，点结束进程将其关闭即可。

当然，对于一些正常程序也有可能出现类似的主动防御提示，我们可以采取勾选以后都这样处理或者加入白名单的方法，让江民记住相应规则，不再频繁提示。
　　
　　单纯依靠特征码查杀病毒已经渐渐跟不上时代的要求，于是，主动防御成为近年来网络安全界特别火的一个词，并已经成为对付未知病毒与恶意软件的主要手段，相关软件也在这两年新兴起来，不过江民公司早在其KV2005AAA版的产品里设计了类似的功能。相信江民的老用户一定还记得KV2005AAA版新增江民木马一扫光,智能广谱可扩充,立体联动,深层防毒,双重升级的功能，已经初步具备了主动防御的雏形，可见江民科技在计算机安全领域的前瞻性与预见性，而新一代的kv2008系统安全软件的主动防御更是强悍，用户可以根据个人需要制定相应的规则，再加上Kv2008强大的自我保护，看来江民科技在每一代产品的研发上都下足了功夫！

gouying0907

这些恶意DLL组件均为网络游戏盗号木马

Trojan/PSW.Wendao.c“问道贼”变种c是“问道贼”木马家族中的最新成员之一，采用高级语言编写。“问道贼”变种c在运行后，会将自身复制到被感染计算机系统的%SystemRoot%\system32\目录下，重新命名为“System.exe”，并设置文件属性为“隐藏”。在注册表启动项中添加键值，用以实现开机后木马的自动运行。同时，还会在“%SystemRoot%\system32\drivers”目录下释放恶意驱动程序“HBKernel32.sys”。在被感染计算机系统的后台恶意篡改注册表相关键值，以此达到干扰某些安全软件正常运行的目的。调用其它病毒释放的若干恶意DLL组件，并将这些DLL组件添加至注册表“AppInit_DLLs”键值下，以此达到开机后加载运行的目的。这些恶意DLL组件均为网络游戏盗号木马，运行后会在被感染计算机系统的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取多款网络游戏的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上 （地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。

I-Worm/VB.aaf“视频宝宝”变种aaf是“视频宝宝”网络蠕虫家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“视频宝宝”变种aaf运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“rundll.exe”，还会在“%USERPROFILE%\Local Settings\Temp\”目录中释放一个文件名随机的病毒文件。“视频宝宝”变种aaf可利用移动设备进行传播，会在被感染计算机系统中所有分区的根目录下创建“autorun.inf”和病毒主程序文件“rundll.exe”，以此实现双击盘符激活“视频宝宝”变种aaf，从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的，给被感染计算机用户造成了更多安全隐患。强行篡改注册表相关键值，致使用户计算机系统中“显示系统隐藏文件”的功能失效。同时，“视频宝宝”变种aaf还会将自身代码注入内存之中，从而实现隐藏运行，防止被轻易地发现，提高了自身的生存几率。“视频宝宝”变种aaf会在被感染计算机系统后台不断向随机的IP地址和端口发送垃圾数据包，从而耗费了系统资源与网络带宽。同时“视频宝宝”变种aaf还会从骇客指定站点下载大量的木马程序并调用运行，从而导致用户蒙受更大的财产损失。在被感染计算机系统中搜索有效的邮箱地址，然后利用自带的SMTP引擎群发带毒邮件，对互联网的整体安全环境造成了更大的破坏。另外，“视频宝宝”变种aaf会修改注册表，以此实现网络蠕虫开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.as