GDATA 2009 行為監控簡評

2008-09-09 09:48:19 / 個人分類：G DATA

引言 :
2009 由beta 1 版到目前的rc2版本改善的地方有很多, 與2008比較, 最為突出的有3項轉變
1. 界面
2. 引擎及
3. 行為監控
而今次就是要探討的是2009的行為監控

技術 :
(由於到目前為止仍未收到GDATA的回覆, 這部份會待回覆後補回, 對此事深感抱歉

)

測試 :
為了證明行為監控的能力, 小弟搜集了不少樣本, 而這些樣本都不會被特徵碼日期為21/8/2008所偵測.

樣本一 :
行為 :

QUOTE:

建立檔案

目錄檔案
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\ .tt1.tmp
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\ .tt6D.tmp
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\ .tt1.tmp.vbs
C:\Windows\System32\ blphc35dj0erc1.scr
C:\Windows\System32\ lphc35dj0erc1.exe
C:\Windows\System32\ phc35dj0erc1.bmp
C:\Windows\System32\Restore\ MachineGuid.txt

QUOTE:

建立註冊表

路徑名稱數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lphc35dj0erc1 C:\Windows\System32\lphc35dj0erc1.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier InstallID 69f3c199-439e-4507-bc0b-2407cecad524
HKEY_CURRENT_USER\Control Panel\Desktop ConvertedWallpaper C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop SCRNSAVE.EXE C:\Windows\System32\blphc35dj0erc1.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispBackgroundPage 0x00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispScrSavPage 0x00000001
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver EulaAccepted 0x00000001

QUOTE:

修改註冊表

路徑名稱數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\SystemRestor DisableSR 0x00000000
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders AppData C:\Documents and Settings\NetworkService\Application Data
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders Cache C:\Documents and Settings\NetworkService\Local Settings\Temporary  Internet Files
HKEY_CURRENT_USER\Control Panel\Colors Background 0 0 255
HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveActive 1
HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle 0
HKEY_CURRENT_USER\Control Panel\Desktop OriginalWallpaper C:\Windows\System32\phc35dj0erc1.bmp

QUOTE:

網路連線

GDATA 的行為監控結果 :
成功偵測到 Startup 的行為

行為的詳細資料

成功把檔案移動到隔離區

樣本二 :
行為 :

QUOTE:

建立檔案

目錄檔案
C:\Windows\ 1.bat
C:\Windows\Help\ B41346EFA848.dll
C:\Windows\Help\ B41346EFA848.exe
C:\Windows\System32\ 2.bat

QUOTE:

插入處理程序

目標程式插入的模組
C:\Windows\explorer.exe C:\Windows\Help\B41346EFA848.dll
C:\Program Files\messenger\msmsgs.exe C:\Windows\Help\B41346EFA848.dll
C:\Windows\System32dllhost.exe C:\Windows\Help\B41346EFA848.dll
C:\Windows\dns\sdnsmain.exe C:\Windows\Help\B41346EFA848.dll
C:\Program Files\internet explorer\iexplore.exe C:\Windows\Help\B41346EFA848.dll

QUOTE:

建立註冊表

路徑名稱
數值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32 (Default)
C:\Windows\Help\B41346EFA848.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32 ThreadingModel
Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765} (Default)
SSUUDL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {1DBD6574-D6D0-4782-94C3-69619E719765}

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染

樣本三 :
行為 :

QUOTE:

建立檔案

目錄檔案
C:\Documents and Settings\All Users\Application Data\fyhilcnk\ nevedqfm.exe

QUOTE:

建立註冊表

路徑名稱數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run dvZRWdGoeW C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe
HKEY_CURRENT_USER\Software\Uninstall dvZRWdGoeW 0x48BFA73A

QUOTE:

開啟連接埠

應用程式協定連接埠
C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe UDP 隨機

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染

樣本四 :
行為 :

QUOTE:

建立檔案

目錄檔案
C:\Windows\System32\ j3ewro.exe
C:\ autorun.inf
C:\Windows\System32\ jwedsfdo0.dll
C:\Windows\System32\ jwedsfdo1.dll
C:\Windows\System32\ jwedsfdo2.dll

QUOTE:

插入處理程序

目標程式插入的模組
C:\Windows\explorer.exe C:\Windows\System32\jwedsfdo2.dll

QUOTE:

建立註冊表

路徑名稱數值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run jvsoft C:\Windows\System32\j3ewro.exe

QUOTE:

修改註冊表
路徑名稱數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0x00000000

QUOTE:

下載檔案

URL 目標資料夾
http://www.12aas.org/xjj/cc1.rar C:\Documents and Settings\使用者名稱\Local Settings\Temp\

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染

結論 :
就這次所使用的樣本來看, 行為監控的效果似乎沒有想像中的嚴謹, 很多行為都無法攔截, 連自動執行的註冊表路徑也沒有完全監控, 看來GDATA 2009 行為監控似乎與2008的註冊表監控差不多, 可能僅是換個名稱而已.

期望 :
作為使用者, 當然希望防毒軟體更完美, 尤其在現在的趨勢來看, GDATA 不應再單靠引擎的掃瞄來提高已知或未知的威脅, 既然已經早在2007時代加入註冊表監控的功能, 可惜功能仍有待進一步的改善.

估計 :
由於這次的結果真是大失所望, 估計導致的原因有一 :
德文版GDATA 2009的行為監控僅對應德文版的Windows (可能是因為規則中的路徑都是德文...)
因此要待英文版釋出作進一步的測試

論壇模式推薦收藏等級(0) 編輯管理 查看(1620) 評論(8)

TAG:

000110 發佈於2008-11-03 14:11:45: 技術這項終於都等到官方的回覆, 不過描述很簡單
亦因此補充不少部份

oceanray發佈於2008-10-11 13:18:03: 看來還是要再等了...
雖然偵測率高但無法攔截就...

000110 發佈於2008-10-10 18:37:52: 由於今天發佈了 GDAV2009 英文版, 已補充之前所說的英文版測試, 結果在原文的尾部
圖片可能稍後再貼

另外, 「技術」這部份會在官方回覆電郵時更新, 請留意!

skywalker發佈於2008-09-09 19:54:59: QUOTE:
原帖由 000110 於 2008-9-9 19:25 發表

對, 無法攔截行為
這是真的嗎!

其實會用Gdis是看好它的雙引擎跟啟發,因為我的電腦我老婆跟小孩都會用到,就怕kis 8的啟發報告被看不懂通通按pass(comodo就更不用說了 ),真傷腦筋

000110 發佈於2008-09-09 19:25:16: QUOTE:
原帖由 upside 於 2008-9-9 13:17 發表
最後一個是最新的KAVO 隨身碟病毒
GDATA 2009 無法擋嗎
對, 無法攔截行為

upside 發佈於2008-09-09 13:17:28: 最後一個是最新的KAVO 隨身碟病毒
GDATA 2009 無法擋嗎

anan9000發佈於2008-09-08 21:29:50: 等英文版出的時候~再看看行為監控的效果~希望能在看到000110大的測試

integear發佈於2008-09-08 20:48:53: 哦哦一不注意000110就發精品文章了 .

進入論壇，查看全部評論

建立檔案
目錄	檔案
C:\Documents and Settings\使用者名稱\Local Settings\Temp\	.tt1.tmp
C:\Documents and Settings\使用者名稱\Local Settings\Temp\	.tt6D.tmp
C:\Documents and Settings\使用者名稱\Local Settings\Temp\	.tt1.tmp.vbs
C:\Windows\System32\	blphc35dj0erc1.scr
C:\Windows\System32\	lphc35dj0erc1.exe
C:\Windows\System32\	phc35dj0erc1.bmp
C:\Windows\System32\Restore\	MachineGuid.txt

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	lphc35dj0erc1	C:\Windows\System32\lphc35dj0erc1.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier	InstallID	69f3c199-439e-4507-bc0b-2407cecad524
HKEY_CURRENT_USER\Control Panel\Desktop	ConvertedWallpaper	C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop	SCRNSAVE.EXE	C:\Windows\System32\blphc35dj0erc1.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispBackgroundPage	0x00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispScrSavPage	0x00000001
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver	EulaAccepted	0x00000001

修改註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestor	DisableSR	0x00000000
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders	AppData	C:\Documents and Settings\NetworkService\Application Data
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders	Cache	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
HKEY_CURRENT_USER\Control Panel\Colors	Background	0 0 255
HKEY_CURRENT_USER\Control Panel\Desktop	ScreenSaveActive	1
HKEY_CURRENT_USER\Control Panel\Desktop	Wallpaper	C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop	WallpaperStyle	0
HKEY_CURRENT_USER\Control Panel\Desktop	OriginalWallpaper	C:\Windows\System32\phc35dj0erc1.bmp

插入處理程序
目標程式	插入的模組
C:\Windows\explorer.exe	C:\Windows\Help\B41346EFA848.dll
C:\Program Files\messenger\msmsgs.exe	C:\Windows\Help\B41346EFA848.dll
C:\Windows\System32dllhost.exe	C:\Windows\Help\B41346EFA848.dll
C:\Windows\dns\sdnsmain.exe	C:\Windows\Help\B41346EFA848.dll
C:\Program Files\internet explorer\iexplore.exe	C:\Windows\Help\B41346EFA848.dll

開啟連接埠
應用程式	協定	連接埠
C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe	UDP	隨機

下載檔案
URL	目標資料夾
http://www.12aas.org/xjj/cc1.rar	C:\Documents and Settings\使用者名稱\Local Settings\Temp\