NIS 2010 好象不怎么样

ll123456

楼上用的诺顿什么版本啊！

ADAMS

官方英文30天试用版，看上去挺酷挺炫的。没想到还不如朴实无华的国产微点~~！

unixzyy

原帖由 ADAMS 于 2009-9-14 21:31 发表
糟糕！事实真如楼主说言，徒有其表的诺顿虽有报警，但根本无法杀灭此病毒，最后还是靠微
点才恢复正常，但已无法双击打开硬盘，恳请楼主救救我这个以身试毒的壮士~~~！！！ [:xi25:] [:x ...

我做的专杀工具已经放在顶楼，欢迎下载试用。你可以看一下你的非C盘的EXE文件的版本是不是192.168.0.1，如果是就已经被感染了，图标也是16色的。

ADAMS

原帖由 unixzyy 于 2009-9-14 21:51 发表

我做的专杀工具已经放在顶楼，欢迎下载试用。你可以看一下你的非C盘的EXE文件的版本是不是192.168.0.1，如果是就已经被感染了，图标也是16色的。

感恩~~！感恩~~~！恢复正常了！

jason_jiang

有趣的样本，to drweb

jpzy

09版的Sonar干掉了样本的生成物。10版的Sonar直接干掉样本。
不知道你用的是哪个版本？我特意装了09测试，因为虚拟机只有一个分区，所以看不出异常

ll123456

楼上可不可以每天测试一下当天的样本的，用NIS2010！期待啊！

jpzy

原帖由 ADAMS 于 2009-9-14 21:36 发表
官方英文30天试用版，看上去挺酷挺炫的。没想到还不如朴实无华的国产微点~~！

关于你的这个表述，我还是要请教一下。

首先，你用的是哪个版本的NIS，请说明。是NIS08，09还是10，或者NAV

其次，你的软件环境如何。你所用的是何种操作系统，是否安装了其它安全软件。

最后，你测试的时候遇到了何种情况，请具体描述一下。

我来说说我测试的结果。因为我的虚拟机只有一个C区。所以样本可能会跟实机的行为不同。

我的测试环境：VBOX 3.0.6，XP SP3 联想OEM版，512M内存。安装了NIS2009，并且升级到16.7.2.11。安装OSSS做为行为监控。如果有必要，我会考虑去掉NIS09，单独再用HIPS工具抓一次样本行为！

首先，样本释放了一个winlog.exe到windows路径下。





然后样本以本体为父进程运行了winlog.exe



此后，任务管理器自动关闭。OSSS并没有拦截到后续的行为。NIS09开始起作用。经过2~3秒钟，任务管理器可以重新打开了。NIS09的Sonar开始报警





样本本身并没有感染的动作（可能跟我只有一个C分区有关），当样本完成释放winlog.exe并且运行的行为以后，NIS09的Sonar能够成功的杀掉winlog.exe。就目前的测试来看，虽然样本本体的进程仍然留在任务管理器中，但是它已经没有后续的动作了，重启后无异常！而样本释放的病毒生成物能够被干掉。

ADAMS

在XP环境下使用最新版的NIS2010英文30天官方试用版,解压运行病毒后诺顿显示自动防护删除病毒，重启后病毒文件和进程消失，但电脑已呈现楼主所说的中毒状态，之后诺顿不停提示删除病毒但无济于事。最后不得已才换上的微点加专杀才彻底清除之！

[ 本帖最后由 ADAMS 于 2009-9-15 10:16 编辑 ]

jpzy

那就诡异了。
我这里不但解压缩，还运行了，都没有出现你所描述的情况，2010版的Sonar查杀截图你可以参考前面。
使用的是NIS2010 HP OEM版。

我这里NIS09和NIS10都测过，没有出现特征码报警的情况，都是升级了最新的病毒库。运行后，10版会干掉样本本体，09版干掉生成物。样本本体无有害行为。

PS：仅仅是解压缩，是不可能激活病毒的。