關於 KAV 6.0 中的 Application Activity Analyzer
作者:alphabeta
在目前,大家最關心的就是 Kaspersky Anti-Virus 6.0 和 Kaspersky Internet Security 6.0
在該系列軟體中引入了全新的模組:Proactive Defense Module
其中包含了4個子模組:Application Activity Analyzer、Application Integrity Control、Registry Guard、Office Guard
以下就簡單介紹一下 Application Activity Analyzer 模組
Application Activity Analyzer 模組的目的就是對應用程式的執行行為進行「一定程度」的稽核
KAV 6.0 OR KIS 6.0 會把非正常行為特徵或行為可疑的程序執行暫停,根據用戶的設定給用戶處理選項
截止到目前 KAV 6.0 AND KIS 6.0 可以識別的可疑行為包括:
01. Worm.Generic
02. Worm.P2P.Generic
03. Trojan.Generic
04. Buffer Overrun
05. Data Execution
06. Root Shell
07. Internet Browser (Launchers)
08. Invader
09. Hidden Object (Rootkit)
10. Suspicious values in registry
11. Direct physical memory access
12. R0-R3 gateway handler modification
13. Hidden Instal
01. Worm.Generic
02. Worm.P2P.Generic
03. Trojan.Generic
我選項了 BAGLE 病毒的變種 BAGLE.K 對該功能進行了簡單測試
This worm is also known as:
Win32.Bagle.G@mm、Win32.HLLM.Beagle...orm.Win32.Bagle.k、W32/Bagle.g
病毒執行後在SYSTEM資料夾下產生 i1ru54n4.exe 文件,修改註冊表啟動項目,均被KAV攔截
如果用戶在選項操作是選的是:隔離,那麼原始的病毒文件會被終止執行並隔離
然後提示用戶嘗試還原該程序對系統的修改,包括註冊表項目,產生的新病毒文件(就是移除)等
如果用戶在選項操作是選的是:終止,那麼原始的病毒文件會被終止執行但並不會被隔離
然後提示用戶選項:Rollback 嘗試還原該程序對系統的修改,包括註冊表項目,產生的新病毒文件(就是移除)等
04. Buffer Overrun
05. Data Execution
我選項了 Exploit.Win32.IMG-WMF.u 對該功能進行了簡單測試
This exploit is also known as: Exploit.Win32.WMF-PFV、Exploit.MS05-053、Exploit.Win32.IMG-WMF.u、Exploit-WMF
本病毒只要被點擊選後就可以被執行啟動,最有效的防範方法是及時修補系統漏洞!當病毒文件被點中後,KAV攔截提示
用戶選項:拒絕,那麼原始的病毒文件會被終止執行但都不會被隔離或者移除(病毒體都還在)
用戶選項:允許,該檔案就會被執行,會在連網後到指定位址下載其他病毒程序
需要注意的是:由於這個病毒涉及到系統漏洞,所以在KAV攔截後,雖然病毒不會被執行了,但檔案總管會被強行關閉,然後再重新載入
06. Root Shell
07. Internet Browser (Launchers)
08. Invader
09. Hidden Object (Rootkit)
10. Suspicious values in registry
11. Direct physical memory access
12. R0-R3 gateway handler modification
13. Hidden Instal
我選項了 BAGLE 病毒的變種 BAGLE.FC 對該功能進行了簡單測試
This worm is also known as:
Win32.Bagle.FI@mm、Win32.HLLM.Beagl...W32/Bagle.gen@MM
病毒執行後在WINDOWS臨時目錄下產生臨時文件,被KAV攔截
用戶選項:拒絕,那麼原始的病毒文件和隱藏產生的病毒文件會被終止執行但都不會被隔離或者移除(病毒體都還在)
用戶選項:跳過,那麼文件就會執行,並解壓縮相應文件
需要注意的是:有一些軟體的安裝程序在執行的時候也會在臨時目錄解壓縮一些文件供安裝時使用,如:pdf2word
當然應該包括那些元件服務了插件的軟體,這時候需要用戶對程序進行稽核,看到底有沒有問題,再決定是否允許執行
灰鴿子病毒是大家最一般到的病毒了,那麼這個 新模組能否起到應有的作用呢?
我選項了 Hupigon 病毒的變種 Hupigon.ajj 和 Hupigon.amv 對該功能進行了簡單測試
Hupigon.ajj執行後修改註冊表啟動項目,在SYSTEM資料夾下產生 god.sys、ranx.dll 文件,均被KAV攔截
如果用戶在選項操作是選的是:隔離,那麼原始的病毒文件會被終止執行並隔離
然後提示用戶嘗試還原該程序對系統的修改,包括註冊表項目,產生的新病毒文件(就是移除)等
如果用戶在選項操作是選的是:終止,那麼原始的病毒文件會被終止執行但並不會被隔離
然後提示用戶選項:Rollback 嘗試還原該程序對系統的修改,包括註冊表項目,產生的新病毒文件(就是移除)等
但是在測試 Hupigon.amv 的時候,Hupigon.amv 執行後在SYSTEM資料夾下產生 smlogsvcs.exe 文件,KAV失敗了,沒有指出任何提示,病毒順利執行
另外還測試幾個其他的病毒:Backdoor.Win32.Agent.wu、Trojan-Downloader.Win32.Small.aox,KAV也都失敗了
所以說,還不能完全相信軟體,用戶自己的安全意識還是最重要的!
還有就是這個 Rollback - 還原、反轉 選項,有的項目是無法被還原的
比如正在被 WINDOWS 使用的文件(IE 的 INDEX.DAT)
後來發現 01. Worm.Generic 02. Worm.P2P.Generic 的很多特徵在 03. Trojan.Generic 中都包括了
所以就試下 03. Trojan.Generic 前2個就不試了 很多WORM都會報成TROJAN的
好久沒用 KASPERSKY 的軟體了 哈哈 不太熟悉了
本人時間有限水準有限 僅在此給個提示而已 錯誤請指正 還望高人完善