zbot

saga3721

5234377 发表于 2012-4-24 16:56
请问你用什么工具弄出来的这段结果？

这是红伞网页上报

xyc5238207

F-secure2009

大蜘蛛

原因：        侦测到威胁 (Trojan.Winlock.5600)
日期：        ‎2012/‎4/‎24 ‏‎17:48

蓝天二号

360

wjcharles

NIS2012：


完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/4/24 ( 18:17:11 )
上次使用时间 2012/4/24 ( 18:17:11 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
zbot.exe
____________________________
文件操作
文件: c:\users\sshss\downloads\zbot (11)\zbot.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\sshss\downloads\zbot (11)\zbot.exe, PID:9804)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\sshss\downloads\zbot (11)\zbot.exe, PID:9804)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

wjcharles

saga3721 发表于 2012-4-24 14:00
我记得说过阻止并结束是不算主防成功防御的了

那要怎样算成功？sonar也是阻止并结束。。。http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

saga3721

wjcharles 发表于 2012-4-24 18:57
那要怎样算成功？sonar也是阻止并结束。。。http://bbs.kafan.cn/forum.php?mod=redirect&goto=fin ...

那也是赖皮
只有此主防拦截样本的全部弹框一一点击“拒绝”后系统无实际损害，无异样才是真正的拦截成功
虽说对于破坏性病毒我也认为作为主防而不是HIPS是没有必要作全面防御的，但是如要称作真正成功的防御那就得以我上面说的标准来要求了。
其实我认为主防有一定的防破坏系统能力即可，最关键的是能最大程度上防止木马外联，不让用户受损失，包括隐私泄露和经济损失

wjcharles

saga3721 发表于 2012-4-24 19:02
那也是赖皮
只有此主防拦截样本的全部弹框一一点击“拒绝”后系统无实际损害，无异样才是真正的 ...

有点看不懂，你意思是要等病毒把所有行为作了，并一一对应拦截才算成功？
sonar是全自动处理的，人工介入不了
另外系统确实没有实际损害、无异常啊，以这条来看，为什么不算拦截成功？

防外联对NIS这种全自动的墙来说还是有点难度吧，还是手动的墙效果好，当然对使用者就有一定要求了

saga3721

wjcharles 发表于 2012-4-24 22:37
有点看不懂，你意思是要等病毒把所有行为作了，并一一对应拦截才算成功？
sonar是全自动处理的，人工介 ...

是等主防做出所有对此样本的拦截后
无损害无异常要建立在上述条件基础上
住房不能全自动，也不能全手动；全自动成微点了，全手动成HIPS了。主防应该提取捏合一些关键动作精简拦截，在关键点让用户手动选择卡主病毒的咽喉，主防的易用性、舒适性和强健程度处于全自动和手动之间

wjcharles

saga3721 发表于 2012-4-24 22:55
是等主防做出所有对此样本的拦截后
无损害无异常要建立在上述条件基础上
住房不能全自动，也不能全手动 ...

你所指的主防比较适合广大卡饭用户
“做出所有对此样本的拦截”还是不懂，BD的avc也是都拦截了，sonar也都拦截了，只不过没等病毒行为完全而已

我觉得作为一个面向大众的产品的话，考虑用户的专业知识，主防应该尽量减少让用户参与，或者弹窗默认选择即可防御