Norton AntiBot被徹底的過了
2007-07-25 20:37:32 / 個人分類:AnTiVirus
原本只是單純的在測試Panda 2008的Truprevent功能
因為這個功能在Panda 2007 11.00.02後就失效了
我曾經回報過這個問題,所以我就是看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的以之病毒防護下系統被瓦解
並且再啟不能!
以下是賽門鐵客隊色炸彈的資訊
http://www.symantec.com/security ... 4515-99&tabid=2
Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot
首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的
直接運行樣本,圖示馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中
桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言
打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了
接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上
最後提示重新啟動系統
我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)
重開機後系統還是掛了...
Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並算不罕見,而且破壞力又高
然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為
等級評定為非常危險
告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作
然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了
刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤
結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的
Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇!
因為這個功能在Panda 2007 11.00.02後就失效了
我曾經回報過這個問題,所以我就是看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的以之病毒防護下系統被瓦解
並且再啟不能!
以下是賽門鐵客隊色炸彈的資訊
http://www.symantec.com/security ... 4515-99&tabid=2
Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot
首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的
直接運行樣本,圖示馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中
桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言
打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了
接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上
最後提示重新啟動系統
我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)
重開機後系統還是掛了...
Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並算不罕見,而且破壞力又高
然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為
等級評定為非常危險
告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作
然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了
刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤
結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的
Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇!
black-day.rar
(2007-07-25 20:36:02, Size: 69.6 kB, Downloads: 0)
相關閱\讀:
- 來談談防毒軟體的原罪吧 (ㄚ一, 2007-6-24)
- Dr.Web CureIt! 4.44beta is release! (ㄚ一, 2007-7-03)
- Prevx 2.0 免費放送 (ㄚ一, 2007-7-06)
- AVG AntiVirus 7.5.446 is release (ㄚ一, 2007-7-11)
- Sandboxie 3.00 is release (ㄚ一, 2007-7-11)
- Sophos Anti-Virus 7.0 (ㄚ一, 2007-7-11)
- 幫忙測試Panda有PSP禮物可以拿喔! (ㄚ一, 2007-7-11)
- Norton AntiBot beta 病毒樣本測試 (ㄚ一, 2007-7-11)
- PC PRO雜誌所做的評測 (ㄚ一, 2007-7-21)
- AVKIS 2008b3.1 FireWall LeakTest (ㄚ一, 2007-7-21)
論壇模式 推薦 收藏 等級(0) 編輯 管理 查看(4289) 評論(49)
TAG: AnTiVirus
-
charles1394發佈於2008-01-05 11:35:30
-
QUOTE:
原帖由 ㄚ一 於 2008-1-5 07:25 發表
關於這個我測試了一下,結果是:"不要使用Virtual PC的Shared Folders",它跟真實系統是相通的(猜想是為了不會設權限的人
Virtual P我沒有用
但某些虛擬機器開了共享資料夾後可以透過網路感染實體系統
像VMware的共享資料夾就可以設定是否僅唯讀或是可以寫入
要是設定成僅唯讀的話那就不會感染到真實系統了
用的一種簡易分享的方式,但是權限設太高了,兩邊都FULL CONTROL吧)
乖乖的用LAN上的共享資料夾,權限設網路上存取唯讀就不會被感染了
用Virtual PC是因為在虛擬機器上可以直接用PPPoE連線網路,真實系統不用連線(VMWare Workstation就不行吧?除非有真實IP才可以的樣子,我猜的 ,不對請指教)
-
ㄚ一
發佈於2008-01-05 07:25:24
-
QUOTE:
原帖由 charles1394 於 2008-1-2 11:53 發表
Virtual P我沒有用
請問各位大大
Virtual PC 2007裡開的Shared Folders可以從虛擬系統寫入到真實系統嗎?
不同網段病毒、蠕蟲及木馬會傳染、散播嗎?
謝謝解答!
但某些虛擬機器開了共享資料夾後可以透過網路感染實體系統
像VMware的共享資料夾就可以設定是否僅唯讀或是可以寫入
要是設定成僅唯讀的話那就不會感染到真實系統了
-
charles1394發佈於2008-01-02 11:53:05
-
請問各位大大
Virtual PC 2007裡開的Shared Folders可以從虛擬系統寫入到真實系統嗎?
不同網段病毒、蠕蟲及木馬會傳染、散播嗎?
謝謝解答!
-
charles1394發佈於2007-12-29 16:41:06
-
什麼雙向啊?
我有開SHARE FOLDERS & 同一工作群組 & 同一網段
但是真實系統卡巴沒攔截,直接通知中毒
-
Roger發佈於2007-12-29 13:10:02
-
回復 #48 charles1394 的帖子
你,該不會開雙向吧
-
charles1394發佈於2007-12-29 12:02:06
-
來報告一下
虛擬系統:Virtual PC 2007+EQ E盾v3.41+COMODO Firewall Pro v3+影子系統2.82
真實系統:KIS 7.0.0.125+Spyware Terminator
開啟影子系統想模擬中毒現象,所以EQ盾放行,COMODO放行,結果突然卡巴跳出某某檔案中了Virus.Win32.Delf.bc的毒,
硬碟一直閃,想說奇怪以前這些檔案沒毒啊,還是把它刪除(套用所有),後來又陸續出現卡巴警告檔案中毒的視窗,才知
到問題嚴重了,馬上結束黑色炸彈的進程,卡巴就停止跳視窗了,問題是為什麼虛擬系統裡的毒會感染到外面系統的啊?
還好虛擬系統裡面沒套用所有放行。
卡巴刪掉了21個檔案,損失慘重,為什麼啊?(從此不再認為在虛擬系統測試是一件安全的事)
有沒大大解答一下,為什麼虛擬系統裡的毒會跑到真實系統裡啊? 這隻毒夠恐怖!!!
-
charles1394發佈於2007-12-29 10:37:51
-
試看看 試看看
是說安裝2個HIPS會互相衝突是什麼狀況? 一個原本會攔到的行為會變成攔不到嗎?
-
billyzhou033發佈於2007-12-16 10:35:19
-
。。。。
下载不了啊。。郁闷啊
-
chinaqq發佈於2007-11-23 12:51:14
-
顶22222ing..
-
arms7.62發佈於2007-11-22 20:22:37
-
wo dou 3 ge jinbi le
zenm bu rongwo xiazai ???
-
arms7.62發佈於2007-11-22 20:18:50
-
huifu
zhichi ni ya
-
arms7.62發佈於2007-11-22 19:21:17
-
回復 #16 Bug 的帖子
我上次也有一隻被過
但我後來用手動到Monitored那選隔離
重開後就刪除
但剛開始不能上網
我就開Norton SystemWorks修復後就ok了
不過你這隻木馬真的太狠了點
-
man1221995發佈於2007-11-17 13:32:22
-
HELP HELP 我中左點算
-
謎者發佈於2007-11-15 22:21:35
-
按太快,麻煩版主刪除~"~
-
謎者發佈於2007-11-15 22:16:44
-
[quote]
原帖由 lucifer20 於 2007-10-29 12:03 發表
怎么增加
-
man1221995發佈於2007-11-15 21:58:05
-
avast : Win32:Delf-EVG=virus
-
lucifer20發佈於2007-10-29 12:03:11
-
怎么增加黄金阿????????????
-
tbtb發佈於2007-08-18 18:42:53
-
紅傘當然也擋不了...(關了自動防護之後執行)
-
tbtb發佈於2007-08-18 04:17:59
-
QUOTE:
原帖由 WNIX 於 2007-8-7 20:58 發表
你在說什麼???
智慧型HIPS不好的話...
非智慧型HIPS帶廠家設置好的規則,豈不也會變成智慧型HIPS ?
-
WNIX發佈於2007-08-07 20:58:37
-
智慧型HIPS不好的話...
非智慧型HIPS帶廠家設置好的規則,豈不也會變成智慧型HIPS ?