N360 V2能够自动拦截恶意行为？？

显示全部楼层 · 发表于 2008-4-22 18:46:34

http://bbs.kafan.cn/viewthread.php?tid=239875&pid=3328769&page=1

今天在样本区跑，看到了这个样本，明知道Norton肯定查不到，我还是下载了。解压缩以后，是个图标伪装成文件夹图标的样本，当时大意了，没有仔细看看就直接双击了，然后我就意识到坏事了！马上打开一看，样本在任务管理器里面转着呢！试着用任务管理器结束它，发现可以结束。然后开始抓狂，害怕自己已经中招了！可是观察了一下系统，没有发现问题！

毕竟不放心，开着SVS又跑了一次样本，然后查看了一下样本的行为，到对应的目录下面去找，没有找到任何可疑的文件和注册表键值。开着Autoruns，也没有发现任何异常的开机加载项~！

难道N360可以判断样本的行为，并且自动阻止恶意行为？？

显示全部楼层 · 发表于 2008-4-22 19:49:23

错了错了~~~我说错了~！
这个东东不是因为被N360拦截了恶意行为，而是它跟一般样本的恶意行为不大一样！

这个东东运行以后，在系统目录下面的installer文件夹创建三个后缀都是open.exe的文件。同时它还会改写别的软件~！改写的方式有两种：1，在某个软件的安装路径下创建一个turefile文件夹，将原有文件全部拷贝进去，然后创建一个与此软件主程序同名的exe文件，如：KMPlayer.exe。2，在软件的安装路径下创建一个主程序+open的exe文件，如：飞鸽传书open.exe！

这东西根据观察（不一定准确），似乎没有注入系统进程，改写注册表，加载启动项等行为。所以让人感觉没有异常！不知道它后续的目的是什么！

显示全部楼层 · 发表于 2008-4-22 21:15:08

关注中～～一直对诺顿的防毒效果感到好奇。

显示全部楼层 · 发表于 2008-4-22 21:21:50

关注，希望楼主继续跟踪汇报。

显示全部楼层 · 发表于 2008-4-22 23:04:50

这个需要开启1个什么行为把那个高级模式打开上次报了迅雷n个动作不开就不提示

显示全部楼层 · 发表于 2008-4-22 23:22:54

建议楼主试试FS的智能沙盘

显示全部楼层 · 发表于 2008-4-23 00:43:58

原帖由 jpzy 于 2008-4-22 19:49 发表
错了错了~~~我说错了~！
这个东东不是因为被N360拦截了恶意行为，而是它跟一般样本的恶意行为不大一样！

这个东东运行以后，在系统目录下面的installer文件夹创建三个后缀都是open.exe的文件。同时它还会改写别的 ...

目的是过没有md5的hips吧。

显示全部楼层 · 发表于 2008-4-23 01:27:52

好象可以...也不是太清楚...

显示全部楼层 · 发表于 2008-4-23 03:39:50

NORTON默认先放行，然后有问题可以恢复之前操作。。。对于注册表启动项浏览器插件等变动都有记录的。。。NIS的可以在历史记录里面找到。。。360则专门有个界面是对危险操作进行列表的。。。
另外键盘记录和屏幕截图什么的默认是拦截，也就是类似QQ截图会黑掉，需要手动放行。。。

显示全部楼层 · 发表于 2008-4-23 08:27:31

原帖由 za1012 于 2008-4-22 23:04 发表
这个需要开启1个什么行为把那个高级模式打开上次报了迅雷n个动作不开就不提示

没找到相关的设置~~~能具体说说吗？

[讨论] N360 V2能够自动拦截恶意行为？？