SONAR测试（7.27），见208楼

尘梦幽然

wjcharles 发表于 2012-7-12 18:25
云启发的问题应该是这样，对不同来源的可执行文件NIS会用不同的启发强度，比如下载分析的高查杀跟单纯扫描 ...

其实情况不止如此，有时纯扫文件没毒，复制就报毒。
上传文件的时候目前好像还没有出现过WS.Reputation。

尘梦幽然

wjcharles 发表于 2012-7-12 18:30
最近可能样本区质量不行，诺顿英文论坛前段时间很多中0access的

还好的啊。ZeroAccess的话去年底Norton更新了SONAR定义后基本都能查杀了嘛。

wjcharles

尘梦幽然 发表于 2012-7-12 19:02
其实情况不止如此，有时纯扫文件没毒，复制就报毒。
而且上传文件的时候目前好像还没有出现过WS.Reputat ...

我就是说上传时不是WS.Reputation报的，是其他高启，比如云启发，你看仔细了
复制时报毒就不知道了，可能NIS对这种有特别的启发设定

紫夜M冰凝

wjcharles 发表于 2012-7-12 21:06
我就是说上传时不是WS.Reputation报的，是其他高启，比如云启发，你看仔细了
复制时报毒就不知道了 ...

诺顿好神奇啊

wjcharles

尘梦幽然 发表于 2012-7-12 19:04
还好的啊。ZeroAccess的话去年底Norton更新了SONAR定义后基本都能查杀了嘛。

0access也在进步嘛
其实这一波0access并没能完全感染，替换系统文件成功后进一步下载释放的东西全被实时防护拦截了，NIS程序本身没被破坏。（不排除前期可以完全感染，后来样本区的几个和NIS美国论坛反应的那些都没能感染成功）
但样本破坏了系统的BFE服务（目前还没找到其他能发现或者修复的工具，包括国内的那些，只有NIS启动时会弹窗提醒），导致NIS防火墙和下载分析部分功能受影响

具体见我不久前的贴子http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

刚才被替换的系统文件终于入库了，看看0access感染了多少用户，信誉云都信任了

wjcharles

紫夜M冰凝 发表于 2012-7-13 13:52
诺顿好神奇啊

所以说单纯扫描测试的检测率不一定就是实际使用的检测率，误报也是如此

紫夜M冰凝

wjcharles 发表于 2012-7-14 15:20
所以说单纯扫描测试的检测率不一定就是实际使用的检测率，误报也是如此

难道就没有个相对准确的测试方法吗？现在这成绩有点差啊

wjcharles

紫夜M冰凝 发表于 2012-7-14 16:52
难道就没有个相对准确的测试方法吗？现在这成绩有点差啊

相对准确的测试方法只有所谓真实环境测试，NSS Lab、AVC和AVT都有
但对测试环境、人员要求太高，样本测得最多的AVC每年也才测几千个，跟扫描测试数量没法比

消停

7.18测试（N360V6.2），样本数为50个
扫描后剩余22个样本，比昨天测试区的结果多检测出1个样本，扫描检出率为56%。


双击：

20120718-3：


20120718-4：


20120718-5：


20120718-6：


20120718-7：


20120718-8：自动防护杀衍生物


20120718-12：


20120718-15：


20120718-16：


20120718-18：运行后自动退出，系统被添加启动项


20120718-19：自动防护杀衍生物
和8号差不多，连报的衍生物都一样。

20120718-20：


20120718-21：


20120718-26：


20120718-27：


20120718-30：安装了一堆东东，其中还有金山


20120718-31：
和30号差不多。

20120718-32：还前面俩差不多，但这次自动防护报了下载的一部分文件。



20120718-39：
运行后退出。

20120718-44：运行后打开了一个图片，多了一个看不到名字的进程，安了一个插件



20120718-46：貌似是个压缩文件？解压后没有可执行文件，还是我没弄对？


20120718-47：
运行了一下就退出了！

sonar一共杀了9个样本，最后剩余样本数为13个，加上sonar最终的检出率为74%。

消停

为啥看不到自己的回帖？