由此样本引发的感慨

ywsuda

http://bbs.kafan.cn/thread-1347499-2-1.html
此为一个盗号的木马。盗qq号的。最后被sonar kill了
我想说的是：这个一定要登录qq才有效。否则你再怎么运行sonar也无反应。
这就是说病毒运行或者说他起作用有时候需要一定的环境或者一定的条件。比如登录qq。比如要安装net framework。再比有的要vb环境。有的要xp环境。有的要win7。甚至有的要2000或者98或者dos。

不同的环境导致了病毒是否能够运行以及防病毒软件是否认为它是病毒而kill它。就算是同个操作系统也可能环境不同

比如沙盘。虚拟机和实机的环境就不同。记得上次在沙盘运行一个样本。半天没反应。以为过了sonar。结果看到其他的同学sonar kill。于是在实机运行。sonar直接kill。无鸭梨。当然这里不是提倡大家都去实机测试病毒。只是想提醒大家注意病毒所处的环境以及他是否能起到作用。

综上并不是所有的样本只要相同。甚至MD5等指纹都相同。就一定在你的机子上是病毒。你的杀毒软件可能不会kill它。只是一定的环境或者条件没有满足。

诺顿就是这样一个能够根据环境或者条件真正判断样本是否对机子造成危害的智能化的杀毒。有些样本其他杀毒杀了。诺顿没杀。可能因为诺顿没有收集到。但是也有可能是诺顿判断他不是毒或者不具备条件或环境。所有没杀。而其他的杀了可能是因为他们发现有病毒特征码或者在所有环境下分析后发现有问题所以入库的。而诺顿不是

就像样本区的手机病毒。有的电脑杀毒是杀的。而诺顿从来不杀

说了这么多。希望大家能够理性认识病毒样本。不要他杀你不杀就认定诺顿抽了或者诺顿不如其他的杀毒

其实我也是小白。大家交流交流。有什么不对的望指正

尘梦幽然

诺顿对病毒的入库相比其他安软来讲要慢一些。所以对动态防御方面的要求比较高。
话说之前这类样本都不能杀的，今天竟然杀了！

消停：木马如果调用ie联网并发送密码的话，sonar则不管。结束qq进程，再重启qq后盗​用密码的，sonar也不能防！

有可能是SONAR添加动态特征了吧。

284678343

了解了

波斯王子

路过进来看看

酱紫啊~

需要合适的环境

xyhjxs

觉得还是直接杀了的好,万一诺顿抽了就惨了.别的杀软能识别出特征直接杀了,诺顿为什么不这么做呢?留个病毒尸体我都觉得后怕.

cszmw6666

路过，学习学习

尘梦幽然

xyhjxs 发表于 2012-8-7 11:43 觉得还是直接杀了的好,万一诺顿抽了就惨了.别的杀软能识别出特征直接杀了,诺顿为什么不这么做呢?留个病毒尸 ...

美系三大都这样，没办法，人家入库有审核机制。只要不是大面积爆发的病毒，基本都要先发布在快速定义中测试几天，然后才正式更新。

saga3721

被sonar误杀的有多少？

xyhjxs

尘梦幽然 发表于 2012-8-7 12:04
美系三大都这样，没办法，人家入库有审核机制。只要不是大面积爆发的病毒，基本都要先发布在快速定义中测 ...

不一定要入库的,就像上面说的可以根据特征来杀嘛.