再次实机测试BD的动态防御

绅博周幸

样本：一个月前的邮件僵尸程序，至今秒杀VirusTotal！！！

样本地址：http://bbs.kafan.cn/thread-1282599-1-1.html

VT截图：



由于BD特征码不能识别，所以这里我也就不关文件监控了，AVC+IDS设置为最高级别，然后直接大胆双击样本



看图，BD无需特征码直接用AVC阻挡了样本，防御成功。



总结：现在很多新出来的样本，只要作者有心，完全可以做到特征码过VT上所有的杀软，因此如果杀软没有有效的行为防御而只靠特征码则来不及防御此类免杀样本（靠特征码永远赶不上病毒制造速度），所以一款优秀的杀软必须具备行为防御并以此来抵御未知威胁。

哀酱俏佳人

BD的实力毋庸置疑

不过实机要注意了

绅博周幸

lmywen 发表于 2012-5-6 13:28
BD的实力毋庸置疑

不过实机要注意了

没事，我还有avgpc tuneup查看启动项，注册表以及系统进程。A2+MB补漏

牆角寫檢討°

实际测试，风险大，但是准确。楼主胆真大。其他人别效仿。

绅博周幸

牆角寫檢討° 发表于 2012-5-6 13:31
实际测试，风险大，但是准确。楼主胆真大。其他人别效仿。

恩，确实有一定风险

lbb9432

实机双击 卡巴没反应

绅博周幸

lbb9432 发表于 2012-5-6 13:36
实机双击 卡巴没反应

改交互看看，默认自动模式不是很严格

kofgame520

绅博周幸 发表于 2012-5-6 13:38
改交互看看，默认自动模式不是很严格

              双击微点没反应    提示链接远程地址 拒绝后 自动退出

lbb9432

绅博周幸 发表于 2012-5-6 13:38
改交互看看，默认自动模式不是很严格

这种样本的动作是什么？  发垃圾邮件？

交互模式依旧无视

zmzcy

呵呵 诺顿的主防也不错，不用特征码，sonar kill



完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012-5-6 ( 13:46:01 )
上次使用时间 2012-5-6 ( 13:46:01 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
fjieoyanjifojetwol.exe
____________________________
文件操作
受感染文件: c:\documents and settings\administrator\桌面\fjieoyanjifojetwol.exe
已删除
____________________________
网络操作
事件: 网络活动 (执行者 c:\documents and settings\administrator\桌面\fjieoyanjifojetwol.exe, PID:3080)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\documents and settings\administrator\桌面\fjieoyanjifojetwol.exe, PID:3080)
未采取操作
____________________________
文件指纹 - SHA:
a69898397e9dd208b1027d189c216d04b4dff456efe694980ffe289f6d32df66
____________________________
文件指纹 - MD5:
dbabafd7ee589cafc6dc8716392a46d8
____________________________