趋势2011简体中文 10.2卡饭包主防测试

hansyu

测试环境，虚拟机Windows XP SP2,所有样本均在Sandboxie中运行。每测试完一个，执行倒沙。
设置勾选自动删除可疑迹象文件和防止未经授权的更改，其他未做变动。病毒库为今天最新。。
首先进行手动扫描，剩余样本数39个。。检测率36.06%


结果如下。。
HAPPYNATIONALDAY(1).exe 生成众多衍生物，仅拦截一个衍生物防护失败
HAPPYNATIONALDAY(3).exe 运行后试图后台下载木马，被趋势WEB防护拦截，进程终止后没有其他残余进程，防护成功。
HAPPYNATIONALDAY(4).exe 结果与样本3相同。
HAPPYNATIONALDAY(5).exe 拦截2个衍生物，但是有一DLL注入，防护失败。
HAPPYNATIONALDAY(6).exe 释放的自启动DLL被拦截，仅剩余一计划任务，基本防护成功。
HAPPYNATIONALDAY(9).exe 结果与样本3，4相同
HAPPYNATIONALDAY(10).exe 结果与样本6相同。
HAPPYNATIONALDAY(13).exe 运行自动退出，趋势无报警，没有发现其他异常。
HAPPYNATIONALDAY(14).exe 释放一DLL并运行，一段时间后自动退出，没有发现异常，趋势无报警。
HAPPYNATIONALDAY(18).exe 情况和样本13相同。
HAPPYNATIONALDAY(19).exe 结果与样本3，4，9相同
HAPPYNATIONALDAY(20).exe 结果与样本3，4，9，19相同
HAPPYNATIONALDAY(21).exe 结果与样本6，10相同
HAPPYNATIONALDAY(24).exe 结果与样本6，10，21相同
HAPPYNATIONALDAY(25).exe 结果与样本3，4，9，19，20相同
HAPPYNATIONALDAY(26).exe 拦截1个衍生物，但是有一DLL注入，防护失败。
HAPPYNATIONALDAY(27).exe 结果与样本13，18相同
HAPPYNATIONALDAY(28).exe 结果与样本13，18，27相同
HAPPYNATIONALDAY(29).exe 结果与样本14相同
HAPPYNATIONALDAY(32).exe 释放一DLL注入进程，然后退出，趋势无报警。
HAPPYNATIONALDAY(33).exe 拦截2个gif，终止样本进程后，未发现其他异常，防护基本成功。
HAPPYNATIONALDAY(34).exe 拦截1个gif，样本释放一个程序自启动，趋势无报警，防护失败。
HAPPYNATIONALDAY(35).exe 释放诸多衍生物，趋势仅拦截部分，防护失败。
HAPPYNATIONALDAY(37).exe 运行后自动退出，趋势不报警，没有发现其他异常。
HAPPYNATIONALDAY(38).exe 运行后进程驻留，趋势不报警，终止进程后未发现其他异常。
HAPPYNATIONALDAY(43).exe 防护失败。
HAPPYNATIONALDAY(47).exe 释放大量桌面图标及其他衍生物，趋势无报警，防护失败。
HAPPYNATIONALDAY(48).exe 运行后自动退出，趋势无报警，未发现其他异常。
HAPPYNATIONALDAY(49).exe 释放大量桌面图标及其他衍生物，趋势无报警，防护失败。
HAPPYNATIONALDAY(50).exe 成功加载一个服务，防护失败。
HAPPYNATIONALDAY(52).exe 运行一段时间后自动退出，释放一个DLL和少量衍生物，趋势无报警。
HAPPYNATIONALDAY(53).exe 进程驻留，释放exe，趋势无报警，防护失败。
HAPPYNATIONALDAY(54).exe 运行自动退出，释放若干DLL，趋势无报警，防护失败。
HAPPYNATIONALDAY(56).exe 运行后自动退出，未发现其他异常。
HAPPYNATIONALDAY(57).exe 运行后释放衍生物，进程驻留，趋势无报警，防护失败。
HAPPYNATIONALDAY(58).exe 运行后释放衍生物，弹出广告，防护失败。
HAPPYNATIONALDAY(59).exe 成功加载服务，防护失败。
HAPPYNATIONALDAY(60).exe 安装大量垃圾。。防护失败。
HAPPYNATIONALDAY.exe 运行错误。

能够判断基本防护成功的有11个，其他均为失败或者是无法判断。。总防护率为54.09%。
其中3，4，9，19，20，25号样本均试图下载威胁，被趋势阻挡后程序退出，可见趋势在利用WEB信誉来防范下载者还是不错的，但是其他类型的木马，以及流氓软件趋势的防护还是很弱。不知道2011的主防是不是不支持沙盘啊，没看到主防报过一个。。

derek2005

防火墙半吊子的缘故吧。

行后试图后台下载木马，被趋势WEB防护拦截。防火墙的功能？以前这个联网提示在防火墙的

沙盘也许不支持，既然虚拟机了，咋不直接来呢

看了下整体50%多，也还行，总比扫锚的好

dongsheng01

希望主防再强一些

hansyu

回复 2楼 derek2005  的帖子
还原虚拟机比清空沙盘花时间多，麻烦。。所以在沙盘中运行。另外看日志是被WEB信誉阻挡的，应该不属于防火墙。防火墙在第一次初始化时正在更新。。结果坏掉了，在设置里选择启用也开不了。。再次打开设置那个钩就没了。。

   

derek2005

回复 4楼 hansyu  的帖子


    虚拟机全部运行完了再还原嘛，虽然有点不严谨，不过差别不大的，比起沙盘不支持要好很多

这个WEB拦截似乎2010版没得，2010似乎靠防火墙

hansyu

回复


    虚拟机全部运行完了再还原嘛，虽然有点不严谨，不过差别不大的，比起沙盘不支持要好很多

...
derek2005 发表于 2010.10.3 17:02

感觉很多样本都是同类的变种或者是免杀的，虽然大小什么的不一样，像我上面列举那些结果相同的其实行为都是基本一样的。。

derek2005

回复 6楼 hansyu  的帖子


    免杀是不会的，针对趋势的免杀似乎不多。不过同一类型到真的，每次扫描也是有图标的一类，趋势不大杀。那类似乎是属于大陆的灰色软件

卡卡洛夫

趋势还得继续加强啊，这个成绩还不够

qiuzhengru

用虚拟机咋不用VPC测试，这个可以关闭前删除所有对于虚拟磁盘的变更，再次启动的时候就是变更前的状态了。

zhangxujian11

楼主辛苦……看看趋势2011的效果…