kv2009沙盒模式对抗“扫荡波”病毒

gao0907

kv2009沙盒模式对抗“扫荡波”病毒
江民科技最新推出的KV2009新品, 国内首家应用了最新的反病毒“沙盒技术”，能够将电脑病毒在操作系统上面的操作痕迹全部“抹掉”，恢复到原来的正常状态。KV2009的“沙盒”技术到底怎么样？今天让我们来直观的测试一下，揭开江民杀毒软件KV2009“沙盒技术”的庐山真面目。
   “扫荡波”病毒资料：
　　
   “扫荡波”又称为“代理木马”变种（Trojan/Agent.asxo），这是一个通过微软最新RPC漏洞（微软MS08-067漏洞）进行传播的木马。病毒运行后，遍历局域网中所有电脑并发起攻击，如果被攻击电脑系统存在微软MS08-067漏洞，则会自动执行病毒代码，远程下载一个“下载者”木马病毒，借助该木马远程下载其它的游戏盗号木马以及“扫荡波”（“代理木马”变种Trojan/Agent.asxo）本身，被攻击的染毒电脑本身也开始成为病毒攻击主体，由此展开对电脑的循环攻击。
     据了解，如果局域网中有电脑还没有打好微软MS08-067补丁，一旦被病毒扫描发现，瞬间便受到蠕虫病毒侵袭，成为被黑客远程控制的帮凶，并会主动去攻击其他用户的电脑。其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。
     一、 选择病毒样本
     本次测试，本人在虚拟机上选择了最新截获的“扫荡波”病毒（江民杀毒软件报为Trojan/Agent.asxo），如图，打开压缩后的文件名为new34.exe.

二、手工扫描
     先用江民杀毒软件KV2009手工扫描了一下病毒样本，扫描发现病毒，报告的病毒名为Trojan/Downloader.Agent. asxo。

扫描结果显示病毒文件被删除。
    三、那么现在我们关闭所有的监视。只开启主动防御系统看看。

看一下主动防御模式设置：

一切无误后我们运行一下病毒程序：

江民智能主动防御已截获次此病毒程序的所有行为动作，这时我们只要选择“阻止运行时删除该程序及其创建的文件”，点“阻止运行”，病毒所产生的一切文件以及危害系统安全的行为都将被“抹去”。再次运行病毒，为了更直观的看看江民KV2009内核级自我保护的效果，我们选 “允许”。
    病毒已经运行，等待几分钟，让病毒有充分的运行时间，实现其所有功能!

我们尝试打开实时监控,发现依然有效.



内存扫描正常并把病毒加入重启删除队列!
   重新演示，这次我们选择智能主动防御模式的“阻止运行时删除该程序及其创建的文件”，点“阻止运行”，结果所有病毒的动作以及写下的文件全部被阻止和删除，

搜索一下，查找病毒释放的文件，搜索结果为空，没有发现病毒留下的任何文件

对电脑进行全盘扫描,我们可以看见,病毒程序根本没有对计算机系统造成任何威胁.病毒程序的行为已经抹去.

扫荡波病毒是微软通过“黑屏”方式打击盗版之后利用windows严重RPC MS08-067漏洞来传播的蠕虫病毒，已关闭系统自动更新的用户请使用江民KV2008/2009的漏洞扫描功能来安装KB958644补丁来修复此漏洞。
    建议广大计算机用户一定要及时升级病毒库，开启杀毒软件全部监控以及智能主动防御系统, 仔细留意主动防御系统的提示，在遇到提问时要认真对待。同时建议用户开启江民防火墙封堵TCP445端口来防御此蠕虫病毒的攻击。