20120217卡饭包断网sonar测试

wjcharles

虽说现在都流行云了，但我还是想看看NIS本地主防的强度与2年前的nis2010有无变化http://bbs.kafan.cn/forum.php?mod=viewthread&tid=554890
注意：测试结果不代表NIS的整体防护能力
系统配置：win7 x64，UAC全开并拒绝（实机测试，以防万一）

一、解压
2.17的包，共100个，7z格式没有下载分析，解压杀57个，修复1个71号，对NIS来说还算不错（记录在最后）

二、断网，双击，
sonar杀7个

2012/2/17 22:20:35,高,检测到 billlab-0217-74.exe (billlab-0217-74.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-74.exe
2012/2/17 22:16:08,高,检测到 billlab-0217-50.exe (billlab-0217-50.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-50.exe
2012/2/17 22:11:59,高,检测到 billlab-0217-42.exe (billlab-0217-42.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-42.exe
2012/2/17 22:10:23,高,检测到 billlab-0217-37.exe (billlab-0217-37.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-37.exe
2012/2/17 21:39:03,高,检测到 billlab-0217-25.exe (billlab-0217-25.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-25.exe
2012/2/17 21:32:51,高,检测到 billlab-0217-15.exe (billlab-0217-15.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-15.exe
2012/2/17 21:30:08,高,检测到 billlab-0217-7.exe (billlab-0217-7.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-7.exe

其中50号有回滚

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/2/17 ( 22:15:56 )
上次使用时间 2012/2/17 ( 22:15:56 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
billlab-0217-50.exe
____________________________
文件操作
文件: c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-50.exe
已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Run->howcodec, 注册表配置单元: 64 位
已删除
____________________________
网络操作
事件: 网络活动 (执行者 c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-50.exe, PID:4932)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-50.exe, PID:4932)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________


其他样本行为：

自动退出，无行为：3，12，17，18，33，60， 87，
触发UAC：4，23，57，69，75，94，96，97，98，99，
出错退出：5，10，27，40，44，45，47，52，59，61，64，67，84，86，
进程残留：26，29，46，77，
母体自动退出，衍生物进程残留：78
貌似今天的病毒都很安静，丝毫没有中毒的感觉

26号


29号


46，77，78都没有窗口，都尝试外联（当然是无用功 ）


三、联网
联网后sonar马上有反应，杀了77号


完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/2/17 ( 22:20:57 )
上次使用时间 2012/2/17 ( 22:20:57 )
启动项目 是
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
billlab-0217-77.exe
____________________________
文件操作
文件: c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-77.exe
已删除
文件: c:\users\sshss\appdata\roaming\microsoft\c7c4\0f5.exe
已删除
事件: 正在运行进程: c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-77.exe
已终止
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Run->0F5.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-77.exe, PID:15188)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

46号还是尝试连接，等了一个小时都没有流量，只能手动结束进程然后双击46号，sonar杀了

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/2/17 ( 22:13:32 )
上次使用时间 2012/2/17 ( 22:13:32 )
启动项目 是
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
billlab-0217-46.exe
____________________________
文件操作
文件: c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-46.exe
已删除
文件: c:\users\sshss\appdata\roaming\local.exe
已删除
事件: 正在运行进程: c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-46.exe
已终止
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Run->data
已删除
____________________________
网络操作
事件: 网络活动 (执行者 c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-46.exe, PID:7152)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-46.exe, PID:6988)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

26号、29号和78号双击情况没有变化。。。

期间又把剩余样本双击一遍，sonar杀了5个，都没有出现回滚

2012/2/17 23:20:48,高,检测到 billlab-0217-60.exe (billlab-0217-60.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-60.exe
2012/2/17 23:20:28,高,检测到 billlab-0217-59.exe (billlab-0217-59.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-59.exe
2012/2/17 23:19:41,高,检测到 billlab-0217-44.exe (billlab-0217-44.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-44.exe
2012/2/17 23:16:28,高,检测到 billlab-0217-17.exe (billlab-0217-17.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-17.exe
2012/2/17 23:16:16,高,检测到 billlab-0217-5.exe (billlab-0217-5.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-5.exe

四、重启电脑

只剩下78号衍生物依然时不时联网，但没有进一步行为




五、总结

首先是最经典的双击成绩统计
断网双击：（57+7）/100=64%
联网双击：（57+7+7）/100=71%

然后关于10和12的比较，突然发现其实因为样本不同，难以作出详细结论，看楼下诸位总结了 但可以肯定一点，NIS的sonar还是可以断网工作的
另外再次说明本次测试不包含触发UAC的样本，不知哪位TX有兴趣到虚拟机进行这些样本的测试

附一开始的扫描日志

2012/2/17 21:21:37,高,billlab-0217-95.exe (Dialer.Generic) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:22,高,billlab-0217-93.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:20,高,billlab-0217-92.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:17,高,billlab-0217-91.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:13,高,billlab-0217-90.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:10,高,billlab-0217-9.exe (W32.Wullik@mm) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:08,高,billlab-0217-89.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:21:02,中,billlab-0217-88.exe (FakeCloudAV2012) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:58,高,billlab-0217-85.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:56,高,billlab-0217-83.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:54,高,billlab-0217-82.exe (Infostealer) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:52,高,billlab-0217-81.exe (W32.Gosys) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:49,高,billlab-0217-80.exe (W32.Changeup!gen15) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:42,高,billlab-0217-8.exe (Infostealer) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:41,高,检测到 billlab-0217-73.exe (Trojan.Gampass.E!inf) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-73.exe
2012/2/17 21:20:40,高,billlab-0217-79.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:38,高,检测到 billlab-0217-71.exe (W32.Wapomi.C!inf) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-71.exe
2012/2/17 21:20:35,高,billlab-0217-76.exe (W32.Gosys) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:23,高,billlab-0217-72.exe (Trojan.Packed.NsAnti) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:20:17,高,billlab-0217-70.exe (Backdoor.Trojan) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:59,高,billlab-0217-68.exe (W32.Changeup!gen15) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:58,中,检测到 billlab-0217-6.exe (Joke Program) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-6.exe
2012/2/17 21:19:57,高,billlab-0217-66.exe (Trojan.FakeAV!gen63) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:55,高,billlab-0217-65.exe (W32.Changeup) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:53,高,billlab-0217-63.exe (Trojan.Zbot!gen30) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:49,高,billlab-0217-62.exe (Trojan Horse) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:45,高,billlab-0217-58.exe (W32.Changeup) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:43,高,billlab-0217-56.exe (W32.Changeup) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:40,中,billlab-0217-55.exe (FakeCloudAV2012) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:39,高,billlab-0217-54.exe (Downloader) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:37,高,billlab-0217-53.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:33,高,检测到 billlab-0217-41.exe (Suspicious.Cloud.5.A) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-41.exe
2012/2/17 21:19:31,高,billlab-0217-51.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:26,高,billlab-0217-49.exe (W32.Changeup!gen15) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:24,高,billlab-0217-48.exe (W32.Changeup!gen15) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:22,高,billlab-0217-43.exe (W32.Mydoom.M@mm) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:15,高,billlab-0217-39.exe (Infostealer) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:13,高,billlab-0217-38.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:09,高,billlab-0217-36.exe (Trojan Horse) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:07,高,billlab-0217-35.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:19:06,高,检测到 billlab-0217-21.exe (Suspicious.Emit) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-21.exe
2012/2/17 21:19:05,高,billlab-0217-34.exe (W32.Changeup!gen12) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:59,高,billlab-0217-32.exe (Trojan.Zbot!gen30) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:57,高,billlab-0217-31.exe (W32.Changeup!gen15) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:54,高,billlab-0217-30.exe (W32.Changeup!gen15) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:51,高,检测到 billlab-0217-2.exe (Suspicious.Cloud.5.A) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\kafan0217\kafan0217\billlab-0217-2.exe
2012/2/17 21:18:50,高,billlab-0217-28.exe (W32.Rahack.W) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:46,高,billlab-0217-24.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:42,高,billlab-0217-22.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:37,高,billlab-0217-20.exe (Trojan.Gen.2) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:33,高,billlab-0217-19.exe (W32.Xpaj.C) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:26,高,billlab-0217-16.exe (Infostealer.Banker.C) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:22,高,billlab-0217-14.exe (Trojan Horse) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:20,高,billlab-0217-13.exe (Downloader) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:16,高,billlab-0217-11.exe (Trojan.Gen) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:11,高,billlab-0217-100.exe (W32.Spybot.Worm) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2012/2/17 21:18:10,高,billlab-0217-1.exe (Backdoor.Sdbot) 检测方 自动防护,已阻止,已解决 - 不需要操作,

Apophis

+ 1        版区有你更精彩

支持！！！NIS~~~

zazaqo

佩服lz 支持测试@

尘梦幽然

前排支持！建议发到国外大区给Norton的本地SONAR正身。我之前发了赛门铁克企业版的结论但是没发Norton的，结果造成了不少人的误会。

迷惘的执著

支持下测试

生命在于运动

欢迎测试 期待

wangyunxi80

欢迎测试

慢慢六十六

支持下

ZW086123

顶啊