诺顿2014 SONAR主防 杀了虚拟机

SUNKESS

诺顿SONAR 主防 杀了虚拟机

先在虚拟机上测试fvJcrgR.zip （http://bbs.kafan.cn/thread-1627316-1-1.html）

第一次诺顿防火墙拦截后 主防杀



因为样本太多了，弄重复了。 把fvJcrgR 又测试了一次

结果虚拟机在双击的1S后，虚拟机窗口闪退，实体机弹出诺顿防火墙弹窗  2S后 SONARkill 虚拟机





这是SONAR这是怎么了。

实体机：类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明
2013/9/13 23:38:46,高,阻止了 HOME-PC 的入侵企图,已阻止,不需要操作,System Infected: Downloader.Ponik Activity 2,不需要操作,不需要操作,"HOME-PC (192.168.1.103, 62790)",automaticgufler.biz/ecvis/gate.php,"automaticgufler.biz (185.6.80.153, 80)",192.168.1.103 (192.168.1.103),"TCP, 端口 62790"
来自 <b>automaticgufler.biz/ecvis/gate.php</b> 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME1\PROGRAM FILES\ORACLE\VIRTUALBOX\VIRTUALBOX.EXE 引起。  要停止接收有关此类通信的通知，请在<b>“操作”</b>面板中单击<b>“不再提醒我”</b>。

virtualbox.rar
http://pan.baidu.com/share/link? ... 3&uk=3154674710

欧阳宣

箱子里东西有毒，连着箱子一起砸了

yaoogle007

这是让你不要折腾了。。。。。。

清茗微漾

这。。。我表示无语了。辛亏没装。

尘梦幽然

你可以到诺顿论坛反馈
会不会是虚拟机被穿透了，然后产生了恶意行为？

davidyxw

一定是你提取码子太多了引起大火烧了身

iyinyt

恩 ，难道现在Norton和AVG一样~！？？AVG是用winrar解压样本样本后，双击样本，假设IDP杀了样本的话，再次同一个地方解压样本（可以不双击样本，只解压就行），这次IDP不仅会杀样本，就连正版的WinRAR.exe也会杀掉。看起来这个和楼主的 现象很类似的，那个现象我都给AVG反映过，不过我说的都是实机操作。不过SONAR连虚拟机都连代杀，这也太~~~汗了~！果然SONAR也来越激进了啊~！

蓝核

触发ips了啊。。。

我就感叹一下，不懂诺顿的机制

SUNKESS

davidyxw 发表于 2013-9-14 09:45
一定是你提取码子太多了引起大火烧了身

汗。。

我用虚拟机是来抓毒和病毒上报用的，安了众多杀软，诺顿是其中之一

实体机安的影子系统不需要杀软。只是看到诺顿2014来尝尝新鲜~

SUNKESS

尘梦幽然 发表于 2013-9-14 09:44
你可以到诺顿论坛反馈
会不会是虚拟机被穿透了，然后产生了恶意行为？

家里网速着急 诺顿论坛死活打不开。

有可能是偶然的  下次再次把虚拟机kill了 再去反馈