江民早早捕获该病毒
通过将病毒送到分析网站,并通过其命名来回查入库日期,可以发现,F-Secure 是在08-11-02 入库的,江民KV2009是在08-11-04入库的,而Sunbelt是在08-11-06入库的。
大家可以看到,在病毒文件被病毒作者制作出来之后,到病毒文件的特征码真正被添加到杀毒软件的病毒之间,有几天的“真空期”,在这几天内,对于这些未知病毒,一般的基于特征码扫描的杀毒软件(on-demand scanner)是无能为力的,
但是如果安全软件带有主动防御,能够监控病毒文件的高危行为,那么防住这些恶意软件还是有机会的。
下面就具体看看KV2009对于这些在当时来说,还是“未知病毒”的防御情况是怎样的吧:这里值得一提的是,对于主动防御的设置,是全部打开,监控模式采用智能模式。而由于病毒基本都没有入库,因此监控的开启和关闭也就并不重要了。
先看一下之前提到的PLAY-MOVIE.exe,运行后,该文件做了很多动作,例如创建注册表键和网络连接,这些都被KV2009的主动防御发现,另外,还释放了若干个恶意文件,这些都被KV2009主防的FD(File Defence 文件防御) 监控到,而且四个盾牌也显示这是一个高度可疑的高危文件了。
网友评论