SONAR测试（7.27），见208楼

尘梦幽然

唉。话说没中毒就成。就这点说，SONAR还可以了。

消停

尘梦幽然 发表于 2012-7-10 12:50
唉。话说没中毒就成。就这点说，SONAR还可以了。

中毒都是没有，就是插件、播放器之类的安装了一堆！

尘梦幽然

消停 发表于 2012-7-10 12:53
中毒都是没有，就是插件、播放器之类的安装了一堆！

那个不算病毒啦....只能说是流氓软件。这种情况只有国内按软才管得了。
9日包卡巴74.67%，那说明9日包的灰样本比较多。诺顿的侦测率已经很高了。

消停

7.10测试（N360V6.2），样本数为99个
扫描后剩余27个样本，比昨天测试区的结果多检测出7个样本。


双击：

KafanVL0710-1-3：
运行后退出。

KafanVL0710-1-6：


KafanVL710-1-14：


KafanVL0710-2-1：


KafanVL0710-2-3：


KafanVL0710-2-7：


KafanVL710-2-12：


KafanVL710-2-13：


KafanVL0710-3-4：


KafanVL0710-3-6：报衍生物，但母体一起被删。


KafanVL0710-3-7：


KafanVL710-3-11：运行后退出，自动防护报衍生物。


KafanVL710-3-13：sonar的弹窗又抽了，果断重启之。


KafanVL0710-4-5：


KafanVL0710-4-9：


KafanVL0710-5-3：


KafanVL0710-6-2：
屏幕被锁定，无法进行任何操作，sonar被完爆，无奈重启之，需要说明的是，我是全盘影子，所以重启就ok了，但据紫夜双击的结果来看，虚拟机重启后屏幕还是被锁！估计实际的话也照样悲剧。

KafanVL0710-6-5：报衍生物，母体一起被删，对于此类fakeav，sonar毫无压力。


KafanVL0710-6-6：


KafanVL0710-6-9：报衍生物，母体一起被删，和KafanVL0710-6-5是一类的。


KafanVL710-6-11：


KafanVL710-6-13：安装了一个游戏浏览器。


KafanVL0710-7-1：


KafanVL0710-7-4：
运行后退出。

KafanVL0710-7-7：
运行后退出。

KafanVL710-7-12：自动防护杀了一个衍生物，但还是被安装了世界之窗、金山毒霸、pptv




KafanVL710-7-13：打开了一个恶意网页诺顿拦截了，还有个弹窗不知什么意思！不知是否与之前经运行过7-12有关。


sonar一共杀了11个样本，最后剩余16个样本（其中KafanVL0710-4-9被修复），诺顿加上sonar的检出率为84.84%。


对于锁屏的KafanVL0710-6-2，我用被强制安装的金山毒霸扫了一下，也没扫出来，双击毒霸k+拦截了。

jzhone

sonar 最近不给力

消停

jzhone 发表于 2012-7-11 13:40
sonar 最近不给力

算不上好，但也还算可以！

guobao13

消停 发表于 2012-7-11 10:31
7.10测试（N360V6.2），样本数为99个
扫描后剩余27个样本，比昨天测试区的结果多检测出7个样本。

我现在对怕这种锁屏软件了，sonar无视，不过山山的初级主动防御虽然没有那么智能，但是有时还是很有用的

guobao13

消停 发表于 2012-7-11 13:47
算不上好，但也还算可以！

那些无法运行的还算吗

消停

guobao13 发表于 2012-7-11 14:55
那些无法运行的还算吗

当然要算，有的时候这种报错是为了迷惑用户的，有两个应该不算，应该是无效的。

消停

7.11测试（N360V6.2），样本数为50个
扫描后剩余10个样本，比昨天测试区的结果多检测出5个样本，扫描检出率为80%。


双击：

1：
运行了一会，调用cmd，还生成一堆衍生物。

5：


17：


37：


40：


58：
样本删除自身，同时多了两个svchost.exe的进程，浏览器无法上网。

74：样本删除自身，启动wuauclt.exe进程


75：


86：这个其实云启发可以杀，但在我这里必须随便上传一下，才会触发云启发。



95：运行了一会儿就退出了，期间调用了cmd，还运行了一堆衍生物，最后貌似安装的浏览器插件。


最终sonar只是杀了两个样本，总的检出率为84%。