norton会不会太依赖信誉云了，N卡泄露的签名会不会有影响？

虫虫退散

前几天看到论坛毒区一个签了N卡签名的程序，惊讶的发现评论中的Norton可以正常报毒为Trojan.Gen.MBT，但是自己测试感觉如果没有触发norton的下载文件智能分析的情况下就并不会报毒，不论是右键扫描还是双击（但是在系统弹出UAC后取消了，实体机没敢继续下去，但是之后NPE扫描发现异常）。右键扫描该文件始终认为是信任文件，并跳过了.....因为平常下载并不使用浏览器的自带下载功能，感觉norton的下载智能分析安全感有点弱呀。想请问一下如果实际运行后行为分析组件会正常监控还是也作为信任文件给跳过了呢？感觉如此依赖白名单有点略不放心呀.......


附上原帖链接：

英伟达签名好像漏了_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

onedrive

下载智能分析超强

PS：下载智能分析触发的条件对于解压缩和下载工具都要求是官方版

anthonyqian

这种情况的Trojan.Gen.MBT一般是云杀。可能是缓存的缘故，这个样本下载到你的电脑之后才被云端拉黑，导致你那边没有触发检测。这个问题反映过很多次了，官方一直没有提供解决方案，非常遗憾，这也是导致我少用Norton的原因。

如果实际运行后行为分析组件会正常监控还是也作为信任文件给跳过了呢？

不一定的，信誉信任（多半是信任签名）不会导致SONAR一定不会触发。

↓★x

昨天下载的烈火WinRAR 6.11，结果今天SEP突然弹出提示说自动保护判定该文件信誉低，给隔离了
昨天运行的时候什么提示都没有

satellite288

↓★x 发表于 2022-3-7 11:28
昨天下载的烈火WinRAR 6.11，结果今天SEP突然弹出提示说自动保护判定该文件信誉低，给隔离了
昨天运 ...

这不就是延时了嘛

另外，你为啥不用官方的商业版RAR呢，40天试用商业版扔个KEY进去之后一样没广告的啊，至于下载地址，去RAR吧置顶就能弄到手，或者自己用批量下载方法试出最新的链也一样能弄到手

虫虫退散

anthonyqian 发表于 2022-3-7 09:47
这种情况的Trojan.Gen.MBT一般是云杀。可能是缓存的缘故，这个样本下载到你的电脑之后才被云端拉黑，导致你 ...

看来只能说这个信誉信任有利有弊。性能上确实优化了很多，但是遇到这种少见的签名泄露就有问题了。

我下载的时候评论中已经看到Norton报毒了，应该不是云缓存的问题。只是我使用的小众下载器下载，下载并移动位置后解压得到可执行文件。全程未触发下载智能分析。此时右键解压出来的文件，信誉已经显示文件不良，但是右键扫描和监控都默认跳过了该文件，扫描详情中显示信任的文件。

也可能这个文件本身危害性并不高，对于样本区中其他的最近的MBRkiller样本，同样下载后移位解压，正常触发监控报毒Trojan.Gen.MBT。

anthonyqian

虫虫退散 发表于 2022-3-7 12:35
看来只能说这个信誉信任有利有弊。性能上确实优化了很多，但是遇到这种少见的签名泄露就有问题了。

我 ...

是否触发 云端的 Trojan.Gen.MBT 检测和 是否触发了“智能下载分析”是无关的，“自动防护”也能处理。

你的意思是现在信誉已经从良好变成不良了吗？那再等接下来的几次更新看看能不能杀。

虫虫退散

anthonyqian 发表于 2022-3-7 12:42
是否触发 云端的 Trojan.Gen.MBT 检测和 是否触发了“智能下载分析”是无关的，“自动防护”也能处理。
...

在我第一次下载时右键信誉检查就是“不良”，但是右键扫描明细中显示“信任的文件”。insight全盘信誉扫描和NPE扫描都可以处理，提示不良。
编辑更新一下：使用edge自带下载解压，触发“智能下载分析”，成功触发Trojan.Gen.MBT检测，并隔离了文件。未触发“智能下载分析”的前提下，“自动防护”无法检测。

anthonyqian

虫虫退散 发表于 2022-3-7 12:44
在我第一次下载时右键信誉检查就是“不良”，但是右键扫描明细中显示“信任的文件”。insight全盘信誉扫 ...

这就是缓存的问题，也可以说是产品设计的本质缺陷，而且官方没有一丝重视的意思~

wqs69814

onedrive 发表于 2022-3-6 23:50
下载智能分析超强

PS：下载智能分析触发的条件对于解压缩和下载工具都要求是官方版

解压后扫苗一次，报W1；将压缩包放到虚拟机解压，复制到主机，能解决很大一部分问题