一个典型的sonar回滚查杀样本

wjcharles

随着铁壳技术的改进，貌似从nis2010开始已较难见到样本动作后被sonar回滚查杀，大部分情况是双击后触发sonar的启发分析，样本还未在真实系统中有任何动作就被干净利落地杀了。但这次终于在样本区碰到了一个需要sonar回滚查杀的样本
http://bbs.kafan.cn/thread-922344-1-1.html


就是123.rar里的1.exe，运行后释放了一个铁壳已入库的病毒。

2011-03-03 00:24,高,test2.exe (Trojan.Chost) 检测方 自动防护,已阻止,已解决 - 不需要操作,

完整路径: c:\users\administrator\downloads\123\test\test2.exe
____________________________
____________________________
在电脑上的创建时间:
2011-03-03 ( 00:24:30 )
上次使用时间:
2011-03-03 ( 00:24:30 )
启动项:
否
已启动:
否
____________________________
____________________________
少量用户信任的文件
诺顿社区中有不到 50 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
来源
下载自  URL 不可用

____________________________
文件操作
文件: c:\users\administrator\downloads\123\test\test2.exe
已阻止
____________________________
文件指纹 - SHA:
ac2ec49d706608eab153f832c3bf285652377c6fac21b0281548982db1bcdabf
____________________________
文件指纹 - MD5:
378628fa34638d2a8fbaa0b6270c9222
____________________________


如果仅仅如此，母体1.exe是不会被杀的（见此贴http://bbs.kafan.cn/thread-846871-1-1.html），但母体还有其他动作（见下），在NIS各组件紧密协作下，sonar决定回滚了。。。


完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
2011-03-03 ( 00:24:22 )
上次使用时间:
2011-03-03 ( 00:24:22 )
启动项:
否
已启动:
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自  URL 不可用

源文件:
winrar.exe
创建的文件:
1.exe
____________________________
文件操作
文件: c:\users\administrator\downloads\123\1.exe
已删除
文件: c:\users\administrator\desktop\test2.exe.lnk
已删除
____________________________
网络操作
事件: 已触发自动防护 (Performed by c:\users\administrator\downloads\123\1.exe, PID:4620)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\administrator\downloads\123\1.exe, PID:4620)
未采取操作
____________________________
可疑操作
事件: 击键捕获 (Performed by c:\users\administrator\downloads\123\1.exe, PID:4620)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

klinxun

回复 1楼 wjcharles 的帖子

本来没有干掉母体，后来母体的行为触发sonar回滚？
有些人以为sonar是行为分析，确实是有，不过主要还是个分类器吧……然后跟其他组件联系协助。

荷韵诗

klinxun 发表于 2011-3-3 12:42
回复 1楼 wjcharles 的帖子

本来没有干掉母体，后来母体的行为触发sonar回滚？

sonar其实也有部分功能以来云鉴定。只是云和国内的不同而已。行为分析功能感觉就像是比较弱的虚拟机启发。

klinxun

回复 3楼 荷韵诗 的帖子

是啊，不过断网情况下也是可以工作的，云相当于辅助吧。按照诺顿帮助文件所说的，说是启发式，分析代码，分类……一般主防是威胁发作时暂停为其行为，可是，sonar拦截的话，是威胁发作之前就触发的吧？后来干掉，回滚，是行为分析了吧？

wjcharles

klinxun 发表于 2011-3-3 12:49
回复 3楼 荷韵诗 的帖子

是啊，不过断网情况下也是可以工作的，云相当于辅助吧。按照诺顿帮助文件所说的， ...

个人理解sonar包括两种功能，一种是样本双击后经分类器辨别触发sonar后，在沙箱内虚拟启发，在windows的任务管理器中可以看到样本的进程，但内存占用只有几十k，有可疑动作就查杀，没有就放过；第二种是对已存在的进程出现可疑动作（如本帖所示），回滚查杀，这与微点很相似，在NIS09及以前很常见，NIS2010开始就较少见到了。

由于文件信誉也是分类器要参考的信息之一，因此断网肯定会有影响，尤其对于第一种功能

klinxun

回复 5楼 wjcharles 的帖子

是有影响，不过不是完全影响吧。云、ips、防火墙都会对sonar的判别有影响吧？我没有下样本玩，真的不知道。可能是第一种主要是分类器的方式被过了之后，诺顿会继续监视，发现有威胁行为会触发sonar然后回滚吧？难得有人折腾之，研究之，不过这东西真的很复杂。

wjcharles

荷韵诗 发表于 2011-3-3 12:46
sonar其实也有部分功能以来云鉴定。只是云和国内的不同而已。行为分析功能感觉就像是比较弱的虚拟机启发。 ...

见5L，没错，铁壳的云只能实时查询，样本要在空闲时才会自动上传，反馈就不用指望了。。。单独看，貌似铁壳启发一般，行为分析一般，没什么特别突出的，但他是玩“纵深防御”的，各组件叠加效果就不一般了

荷韵诗

wjcharles 发表于 2011-3-3 19:11
见5L，没错，铁壳的云只能实时查询，样本要在空闲时才会自动上传，反馈就不用指望了。。。单独看，貌似铁 ...

恩 是的，当运行病毒的时候，sonar不一定马上报毒，有些时候要等一段时间它才会有反应。

应该是基于云的一部分，在虚拟机启发无法发现时，就会造成这种现象。发现不对头后马上回滚。

jefffire

wjcharles 发表于 2011-3-3 00:53
随着铁壳技术的改进，貌似从nis2010开始已较难见到样本动作后被sonar回滚查杀，大部分情况是双击后触发sona ...

sonar的这种还真没见过。  sonar刚出来还在beta阶段时类似于TF这种行为分析，而正式以后就黑盒化了。我从没有见过实机的行为分析

wjcharles

jefffire 发表于 2011-3-9 20:30
sonar的这种还真没见过。  sonar刚出来还在beta阶段时类似于TF这种行为分析，而正式以后就黑盒化了。我从 ...

嗯，从nis2010开始就很少见了，我只见过两次，还有一次是把趋势闪电杀毒手的一个清理IE插件的进程回滚了（那个exe没签名），把bitcomet插件又装了回去

很怀疑铁壳把实机中导致回滚的情况搜集起来，作为虚拟启发中的规则，这样回滚自然就少见了