查看: 4053|回复: 17
收起左侧

[讨论] N360 V2能够自动拦截恶意行为??

[复制链接]
jpzy
发表于 2008-4-22 18:46:34 | 显示全部楼层 |阅读模式
http://bbs.kafan.cn/viewthread.php?tid=239875&pid=3328769&page=1

今天在样本区跑,看到了这个样本,明知道Norton肯定查不到,我还是下载了。解压缩以后,是个图标伪装成文件夹图标的样本,当时大意了,没有仔细看看就直接双击了,然后我就意识到坏事了!马上打开一看,样本在任务管理器里面转着呢!试着用任务管理器结束它,发现可以结束。然后开始抓狂,害怕自己已经中招了!可是观察了一下系统,没有发现问题!

毕竟不放心,开着SVS又跑了一次样本,然后查看了一下样本的行为,到对应的目录下面去找,没有找到任何可疑的文件和注册表键值。开着Autoruns, 也没有发现任何异常的开机加载项~!

难道N360可以判断样本的行为,并且自动阻止恶意行为??
jpzy
 楼主| 发表于 2008-4-22 19:49:23 | 显示全部楼层
错了错了~~~我说错了~!
这个东东不是因为被N360拦截了恶意行为,而是它跟一般样本的恶意行为不大一样!

这个东东运行以后,在系统目录下面的installer文件夹创建三个后缀都是open.exe的文件。同时它还会改写别的软件~!改写的方式有两种:1,在某个软件的安装路径下创建一个turefile文件夹,将原有文件全部拷贝进去,然后创建一个与此软件主程序同名的exe文件,如:KMPlayer.exe。2,在软件的安装路径下创建一个主程序+open的exe文件,如:飞鸽传书open.exe!

这东西根据观察(不一定准确),似乎没有注入系统进程,改写注册表,加载启动项等行为。所以让人感觉没有异常!不知道它后续的目的是什么!
3729833
发表于 2008-4-22 21:15:08 | 显示全部楼层
关注中~~一直对诺顿的防毒效果感到好奇。
gaoyuande
发表于 2008-4-22 21:21:50 | 显示全部楼层
关注,希望楼主继续跟踪汇报。
残缺的唯美
发表于 2008-4-22 23:04:50 | 显示全部楼层
这个需要开启1个什么行为  把那个高级模式打开 上次报了迅雷n个动作 不开就不提示
quan2005
发表于 2008-4-22 23:22:54 | 显示全部楼层
建议楼主试试FS的智能沙盘
yjwfdc
头像被屏蔽
发表于 2008-4-23 00:43:58 | 显示全部楼层
原帖由 jpzy 于 2008-4-22 19:49 发表
错了错了~~~我说错了~!
这个东东不是因为被N360拦截了恶意行为,而是它跟一般样本的恶意行为不大一样!

这个东东运行以后,在系统目录下面的installer文件夹创建三个后缀都是open.exe的文件。同时它还会改写别的 ...


目的是过没有md5的hips吧。
happpy168
发表于 2008-4-23 01:27:52 | 显示全部楼层
好象可以...也不是太清楚...
pippo0423
发表于 2008-4-23 03:39:50 | 显示全部楼层
NORTON默认先放行,然后有问题可以恢复之前操作。。。对于注册表启动项浏览器插件等变动都有记录的。。。NIS的可以在历史记录里面找到。。。360则专门有个界面是对危险操作进行列表的。。。
另外键盘记录和屏幕截图什么的默认是拦截,也就是类似QQ截图会黑掉,需要手动放行。。。
jpzy
 楼主| 发表于 2008-4-23 08:27:31 | 显示全部楼层
原帖由 za1012 于 2008-4-22 23:04 发表
这个需要开启1个什么行为  把那个高级模式打开 上次报了迅雷n个动作 不开就不提示


没找到相关的设置~~~能具体说说吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:09 , Processed in 0.127555 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表