诺顿修复方式的bug

knljz

附件里的这个工具是没毒的（tuneup2008的注册机），不过norton把它认作是灰鸽子后门

Symantec	10	2009.02.11	Backdoor.Graybird
Ikarus	T3.1.1.45.0	2009.02.11	not-a-Virus.Hacktool.Keygen.tuneup2008

http://www.virustotal.com/analisis/b59c19e0988ddd3484d5c42eca0ff16f

~~~~~~~~~~~~~~~分割线★☆☆★☆★☆★☆★☆★☆★☆
1.       1从winrar里运行，我的norton360自动防护检测到了，没事。
2.       2随后把自动防护关闭，再把这个文件解压到桌面




3.       3开启自动防护，点一下这个文件，随后此文件被自动删除



4.       4.Norton360显示正在进行文件扫描



5.       5.要求重新启动以删除病毒

结论：在自动防护被关闭时我没有运行病毒
打开自动防护后norton360检测到病毒，并且认为该病毒已经破坏了系统，随后按照病毒数据库里的记录对系统进行修复


偶认为这样是不太妥当的
1病毒分许多种（但我常常见到norton就报一个简单的名字：trojan），有很多种破坏方式，诺顿仅凭记录就判断病毒干了什么坏事是不妥的（比如以前一个U盘病毒，查之前打不开服务，诺顿在记录中显示这个病毒修改了xx文件、注册表，但修复后我发现.msc仍旧与mmc未建立关联）
2猜想诺顿可能会把正常的设置搞乱


建议诺顿以后在产品中集成病毒分析的模块（或者将过程放在服务器上），即便以前中了毒，也可通过分析病毒文件之间以及与计算机上各种设置的关联和虚拟化技术（比如沙盘）来判断病毒对计算机造成的改变以便修复

13楼的说法也有道理，在我做实验之前也是一个参考

[ 本帖最后由 knljz 于 2009-2-14 19:41 编辑 ]

knljz

沙发
怎么没人回呢
难道我的语言有问题？虽然我是先写现象再写结论，不过后面都跟英语作文一样啊

liuxiaolong3133

看完了楼主的分析后我实机运行了一下（我用的是NIS2009），结果和楼主的差不多
只是受影响的区域没有楼主那么多罢了
本人是一个菜鸟，也不知道怎么回答这个问题
诺顿和一些杀毒软件报注册机是很正常的啊，可是为什么在运行该注册机时诺顿已经把它给拦截了，可是却显示已经影响了文件与注册表，这个确实有点令人捉摸不透

knljz

我的norton如果在运行前就拦截到不会显示要我修复
当它发现时如果判定此病毒已在计算机上，就会以为它已破坏计算机要求你修复

终于有一个人回了

冲冲

猜想1诺顿报的是病毒家族，而不是具体。

建议中说的，以前中毒，已经杀了没有？

knljz

我就是指它这种报一类病毒然后修复的方式不可取呀


那个U盘病毒很奇怪，装小红伞norton360，关闭自动播放，用autoguarder（现在不更新了，不知出了什么问题）
一插进去（没打开）小红伞就报毒，然后诺顿显示正在处理威胁，最后services,msc还是打不开，没什么其他症状

hljdqzr

诺顿为了防止盗版是会杀注册机，不过仔细看看诺顿报的真是像回事啊，要真是感染这么多区域，肯定是病毒。
不过，也很有可能诺顿就是为了防盗版，把这个文件认作病毒，算入某一家族里。
诺顿对恶意软件分成家族是的，譬如灰鸽子无论怎么变，诺顿仍会把它算为一类。
诺顿的东西确实保密性很高，它的Symantec Online Network for Advanced Responce（sonar）相信就给很多人猜想的空间。
这自从NIS2007引入的东西，不是很像云安全吗？
菜鸟飘过

knljz

诺顿杀注册机没错吖
我的意思是诺顿仅仅只是按照病毒定义里数据进行修复，不管病毒是否真正破坏，也不管病毒真正破坏的地方（这是不是定语后置呢？ ）

冲冲

原帖由 knljz 于 2009-2-13 23:24 发表
诺顿杀注册机没错吖
我的意思是诺顿仅仅只是按照病毒定义里数据进行修复，不管病毒是否真正破坏，也不管病毒真正破坏的地方（这是不是定语后置呢？ ）

检查一定有，没事也会修复吗？我不太清楚

knljz

我的原文说的不就是这个问题吗 ，我又没运行那个“病毒”