查看: 3028|回复: 12
收起左侧

[讨论] 一个典型的sonar回滚查杀样本

[复制链接]
wjcharles
发表于 2011-3-3 00:53:14 | 显示全部楼层 |阅读模式
本帖最后由 wjcharles 于 2011-3-3 18:37 编辑

随着铁壳技术的改进,貌似从nis2010开始已较难见到样本动作后被sonar回滚查杀,大部分情况是双击后触发sonar的启发分析,样本还未在真实系统中有任何动作就被干净利落地杀了。但这次终于在样本区碰到了一个需要sonar回滚查杀的样本
http://bbs.kafan.cn/thread-922344-1-1.html


就是123.rar里的1.exe,运行后释放了一个铁壳已入库的病毒。

2011-03-03 00:24,高,test2.exe (Trojan.Chost) 检测方 自动防护,已阻止,已解决 - 不需要操作,

完整路径: c:\users\administrator\downloads\123\test\test2.exe
____________________________
____________________________
在电脑上的创建时间:
2011-03-03 ( 00:24:30 )
上次使用时间:
2011-03-03 ( 00:24:30 )
启动项:

已启动:

____________________________
____________________________
少量用户信任的文件
诺顿社区中有不到 50 名用户使用了此文件。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
来源
下载自  URL 不可用

____________________________
文件操作
文件: c:\users\administrator\downloads\123\test\test2.exe
已阻止
____________________________
文件指纹 - SHA:
ac2ec49d706608eab153f832c3bf285652377c6fac21b0281548982db1bcdabf
____________________________
文件指纹 - MD5:
378628fa34638d2a8fbaa0b6270c9222
____________________________


如果仅仅如此,母体1.exe是不会被杀的(见此贴http://bbs.kafan.cn/thread-846871-1-1.html),但母体还有其他动作(见下),在NIS各组件紧密协作下,sonar决定回滚了。。。


完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
2011-03-03 ( 00:24:22 )
上次使用时间:
2011-03-03 ( 00:24:22 )
启动项:

已启动:

____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自  URL 不可用

源文件:
winrar.exe
创建的文件:
1.exe
____________________________
文件操作
文件: c:\users\administrator\downloads\123\1.exe
已删除
文件: c:\users\administrator\desktop\test2.exe.lnk
已删除
____________________________
网络操作
事件: 已触发自动防护 (Performed by c:\users\administrator\downloads\123\1.exe, PID:4620)
未采取操作

____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\administrator\downloads\123\1.exe, PID:4620)
未采取操作

____________________________
可疑操作
事件: 击键捕获 (Performed by c:\users\administrator\downloads\123\1.exe, PID:4620)
未采取操作

____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________






klinxun
发表于 2011-3-3 12:42:51 | 显示全部楼层
本帖最后由 klinxun 于 2011-3-3 12:44 编辑

回复 1楼 wjcharles 的帖子

本来没有干掉母体,后来母体的行为触发sonar回滚?
有些人以为sonar是行为分析,确实是有,不过主要还是个分类器吧……然后跟其他组件联系协助。
荷韵诗
发表于 2011-3-3 12:46:06 | 显示全部楼层
klinxun 发表于 2011-3-3 12:42
回复 1楼 wjcharles 的帖子

本来没有干掉母体,后来母体的行为触发sonar回滚?

sonar其实也有部分功能以来云鉴定。只是云和国内的不同而已。行为分析功能感觉就像是比较弱的虚拟机启发。
klinxun
发表于 2011-3-3 12:49:59 | 显示全部楼层
回复 3楼 荷韵诗 的帖子

是啊,不过断网情况下也是可以工作的,云相当于辅助吧。按照诺顿帮助文件所说的,说是启发式,分析代码,分类……一般主防是威胁发作时暂停为其行为,可是,sonar拦截的话,是威胁发作之前就触发的吧?后来干掉,回滚,是行为分析了吧?
wjcharles
 楼主| 发表于 2011-3-3 18:35:29 | 显示全部楼层
klinxun 发表于 2011-3-3 12:49
回复 3楼 荷韵诗 的帖子

是啊,不过断网情况下也是可以工作的,云相当于辅助吧。按照诺顿帮助文件所说的, ...

个人理解sonar包括两种功能,一种是样本双击后经分类器辨别触发sonar后,在沙箱内虚拟启发,在windows的任务管理器中可以看到样本的进程,但内存占用只有几十k,有可疑动作就查杀,没有就放过;第二种是对已存在的进程出现可疑动作(如本帖所示),回滚查杀,这与微点很相似,在NIS09及以前很常见,NIS2010开始就较少见到了。

由于文件信誉也是分类器要参考的信息之一,因此断网肯定会有影响,尤其对于第一种功能

评分

参与人数 2经验 +5 人气 +1 收起 理由
皇甫暮云 + 5 分析得不错
klinxun + 1

查看全部评分

klinxun
发表于 2011-3-3 18:44:08 | 显示全部楼层
本帖最后由 klinxun 于 2011-3-3 18:45 编辑

回复 5楼 wjcharles 的帖子

是有影响,不过不是完全影响吧。云、ips、防火墙都会对sonar的判别有影响吧?我没有下样本玩,真的不知道。可能是第一种主要是分类器的方式被过了之后,诺顿会继续监视,发现有威胁行为会触发sonar然后回滚吧?难得有人折腾之,研究之,不过这东西真的很复杂。
wjcharles
 楼主| 发表于 2011-3-3 19:11:51 | 显示全部楼层
荷韵诗 发表于 2011-3-3 12:46
sonar其实也有部分功能以来云鉴定。只是云和国内的不同而已。行为分析功能感觉就像是比较弱的虚拟机启发。 ...

见5L,没错,铁壳的云只能实时查询,样本要在空闲时才会自动上传,反馈就不用指望了。。。单独看,貌似铁壳启发一般,行为分析一般,没什么特别突出的,但他是玩“纵深防御”的,各组件叠加效果就不一般了
荷韵诗
发表于 2011-3-3 21:07:04 | 显示全部楼层
wjcharles 发表于 2011-3-3 19:11
见5L,没错,铁壳的云只能实时查询,样本要在空闲时才会自动上传,反馈就不用指望了。。。单独看,貌似铁 ...

恩 是的,当运行病毒的时候,sonar不一定马上报毒,有些时候要等一段时间它才会有反应。

应该是基于云的一部分,在虚拟机启发无法发现时,就会造成这种现象。发现不对头后马上回滚。
jefffire
头像被屏蔽
发表于 2011-3-9 20:30:23 | 显示全部楼层
wjcharles 发表于 2011-3-3 00:53
随着铁壳技术的改进,貌似从nis2010开始已较难见到样本动作后被sonar回滚查杀,大部分情况是双击后触发sona ...

sonar的这种还真没见过。  sonar刚出来还在beta阶段时类似于TF这种行为分析,而正式以后就黑盒化了。我从没有见过实机的行为分析
wjcharles
 楼主| 发表于 2011-3-9 20:43:51 | 显示全部楼层
jefffire 发表于 2011-3-9 20:30
sonar的这种还真没见过。  sonar刚出来还在beta阶段时类似于TF这种行为分析,而正式以后就黑盒化了。我从 ...

嗯,从nis2010开始就很少见了,我只见过两次,还有一次是把趋势闪电杀毒手的一个清理IE插件的进程回滚了(那个exe没签名),把bitcomet插件又装了回去

很怀疑铁壳把实机中导致回滚的情况搜集起来,作为虚拟启发中的规则,这样回滚自然就少见了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 09:35 , Processed in 0.130276 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表