实战才有意义－－4月27日实机测试BD动态防御（含winlock)

绅博周幸

前言：AVC刚发布了新一期的测试报告，其中BD和GD同以99.8%的动态成绩排名第一。由于本人非常喜欢BD，而样本区也有不少同学希望本人能够双击测试样本而非只是上报，那么今天本人就来实机测试一下BD的防御能力。

系统环境



测试样本：http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid24343227

由Palkia提供的23个样本经BD扫描后不能查杀的有6个，因此本次测试就以这6个对BD来说是未知病毒的样本来进行。




测试方法以及设置：关闭BD的实时监控，将病毒活跃控制（AVC）以及主动入侵侦测系统（IDS）开到最高水平。





————————————————————————————————————————————————————

以下是测试部分


样本1:  c1158.exe  (winlock) 双击




测试结果： 拦截。 关于winlock这种木马，其最大特点是样本启动后会弹出一个窗口将桌面锁定，同时窗口将挡住弹窗型主防使得用户无法点击阻止选项。另外如果杀软的主防功力不够的话是无法拦截此样本弹窗行为的，一旦窗口弹出对于没有经验的用户来说就比较难处理了。因为桌面已经被病毒锁定，所以用户只能乖乖交钱给病毒作者以获取解锁码，因此winlock被有些安全公司命名为ransom，意思是赎金。以前我在样本区曾经看到有同学测试此样本中招，结果还非常棘手呢，有的甚至被迫重装系统，由此可鉴此样本还是有一定威胁的。回到BD，由于winlock的更新速度很快，所以特征码肯定是更不上病毒发展的，BD的病毒活跃控制对付ransom最大的优点就是不弹窗不锁机，既做到了阻止winlock锁定桌面的行为又拦截了病毒的弹窗行为，就如没事那样，这点非常值得称道，有些杀软的主防尽管对winlock会作出一定反应，但是病毒的弹窗以及锁机行为还是不能全面防御，winlock一旦弹窗你再要处理就比较麻烦了。

样本2: mmm.exe 双击



测试结果：拦截，此样本运行后会删除自身。

其余样本：



测试结果： 由于其它几个样本是需要安装的，因此这里我就不测试了


——－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

测试结果：实际测试2个样本，BD全部成功拦截。

LisaLan

双击白加黑实施

寒山竹语

我更倾向于所测试样本在用户群的感染概率和流行度。
虽然拦截是好事儿，但可以辩解的东西太多。
测试辛苦。

消停

LisaLan 发表于 2012-4-27 15:30
双击白加黑实施

这个是难为人呢！

绅博周幸

不一定 发表于 2012-4-27 15:38
我更倾向于所测试样本在用户群的感染概率和流行度。
虽然拦截是好事儿，但可以辩解的东西太多。
测试辛苦 ...

下一期将选择卡饭某一天的viruslist进行测试，样本可以多一些。

红蛋蛋

前来围观

绅博周幸

消停 发表于 2012-4-27 15:39
这个是难为人呢！

我这里64位白+黑无法运行。

tshx2005

进来围观下楼主的实际测试

寒山竹语

绅博周幸 发表于 2012-4-27 15:40
下一期将选择卡饭某一天的viruslist进行测试，样本可以多一些。

我觉得测试中国区流行、新生且危害极大的样本。在不上报的情况下，测试任何厂家都有必要。
当然，不一定非要本地实机扫描双击。可以全面一些。不知道能不能实现。如果实现，那可太爽了。
另外白加黑有点邪气。个人看都有点类似钓鱼样本似的

绅博周幸

不一定 发表于 2012-4-27 15:43
我觉得测试中国区流行、新生且危害极大的样本。在不上报的情况下，测试任何厂家都有必要。
当然，不一定 ...

白+黑我这里64系统无法运行。