诺顿2014 Beta全系列更新版本至Build：21.0.0.100

显示全部楼层 · 发表于 2013-8-22 14:27:26

诺顿真的霸气，Windows 8应用商店的PPTV的DLL都给灭了。看起来以后白加黑真的不是问题了，希望正式版不要再误报商店的应用，还没有还原，唉！回去重装PPTV了。

Filename: peer.dll
Threat name: Suspicious.Cloud.7.F
Full Path: c:\program files\windowsapps\pptv.pptvhd_1.3.0.1_x86__svvymaqds8vhm\peer.dll

____________________________

Details
Many Users,  New,  Risk High

Origin
Downloaded from
 Unknown

Activity
Actions performed: Actions performed: 1

____________________________

On computers as of 
2013/8/22 at 14:11:05

Last Used 
2013/8/22 at 14:13:06

Startup Item 
No

Launched 
No

____________________________

Many Users
Thousands of users in the Norton Community have used this file.

New
This file was released more than 7 days 9 days ago.

High
This file risk is high.

Threat type: Heuristic Virus. Detection of a threat based on malware heuristics.

____________________________

Source: External Media

Source File:
peer.dll

____________________________

File Actions

Infected file: c:\program files\windowsapps\pptv.pptvhd_1.3.0.1_x86__svvymaqds8vhm\ peer.dll Excluded
____________________________

File Thumbprint - SHA:
6ac178d50c301d12a0aec34dce8a0ed2d4f34e06f206b91d5131e22acd2315e2
File Thumbprint - MD5:
Not available

显示全部楼层 · 发表于 2013-8-22 14:29:05

尘梦幽然发表于 2013-8-22 14:14
样本拿来看看

还有个问题，谷歌插件这个版本不太好使，提示是无效的安装包！
http://pan.baidu.com/share/link? ... 55&uk=235811948

显示全部楼层 · 发表于 2013-8-22 15:16:57

尘梦幽然发表于 2013-8-22 14:14
样本拿来看看

找到了一个有意思的地方，那些dll型的锁屏或fakeav样本如果用rundll32.exe运行就会被杀，如果用regsvr32.exe运行就过了sonar！

显示全部楼层 · 发表于 2013-8-22 17:16:41

消停发表于 2013-8-22 12:55
SONAR又不管命令行运行的DLL了！拦截注入explorer.exe型的样本依然会造成蓝屏！@尘梦幽然反馈下吧！需要样本 ...

拦截会蓝屏？指的是这个100测试版吗？
你一会儿又说不管，一会儿又说拦截，什么意思

显示全部楼层 · 发表于 2013-8-22 17:27:48

本帖最后由驭龙于 2013-8-22 17:29 编辑

消停发表于 2013-8-22 15:16
找到了一个有意思的地方，那些dll型的锁屏或fakeav样本如果用rundll32.exe运行就会被杀，如果用regsvr32. ...

如此说来，诺顿是为了防止误报，要不然是可以拦截了，毕竟regsvr32是系统安装注册DLL的程序，如果拦截对它的调用，那肯定会影响用户体验。

要是这么说2014的SONAR还是有改进的

显示全部楼层 · 发表于 2013-8-22 17:30:37

本帖最后由 mengld 于 2013-8-22 17:31 编辑

消停发表于 2013-8-22 15:16
找到了一个有意思的地方，那些dll型的锁屏或fakeav样本如果用rundll32.exe运行就会被杀，如果用regsvr32. ...

用批处理运行试试

显示全部楼层 · 发表于 2013-8-22 17:55:46

尘梦幽然发表于 2013-8-22 17:16
拦截会蓝屏？指的是这个100测试版吗？
你一会儿又说不管，一会儿又说拦截，什么意思

DLL文件用regsvr32.exe运行不管！拦截的时候造成蓝屏的是注入explorer.exe的样本，估计就是所谓的gapz型注入的样本，不是一类！

显示全部楼层 · 发表于 2013-8-22 18:20:58

消停发表于 2013-8-22 17:55
DLL文件用regsvr32.exe运行不管！拦截的时候造成蓝屏的是注入explorer.exe的样本，估计就是所谓的gapz型注 ...

拦截的时候造成蓝屏的是注入explorer.exe的样本包括在网盘里？

显示全部楼层 · 发表于 2013-8-22 19:34:30

尘梦幽然发表于 2013-8-22 18:20
拦截的时候造成蓝屏的是注入explorer.exe的样本包括在网盘里？

是的！看文件夹名就行！

显示全部楼层 · 发表于 2013-8-22 20:34:08

本帖最后由 q8888 于 2013-8-23 14:13 编辑

LZ...其实我还发现了。。。在64位下。。。诺顿2014无法显示IE工具栏。。。

[测试版相关] 诺顿2014 Beta全系列更新版本至Build：21.0.0.100

RE: 诺顿2014 Beta全系列更新版本至Build：21.0.0.100