召唤MJ，过数字卫士云主防的样本

显示全部楼层 · 发表于 2011-3-9 09:36:44

leisong 发表于 2011-3-9 09:31
回复 1楼 fzq198776 的帖子

不断网彻底过主防规则，注入核心进程，7.7.1005最新版也过云查杀还只能查杀到一 ...

哪一个木马？？另外现在公司，没虚拟机

显示全部楼层 · 发表于 2011-3-9 09:38:23

本帖最后由 fzq198776 于 2011-3-9 09:55 编辑

leisong 发表于 2011-3-9 09:35
SONAR据说需要联网和最新毒库才发挥最佳效力，更接近依靠毒库的动态启发，好像更接近NOD的动态虚拟启发一 ...

怎么可能，我虚拟机上NIS2011的病毒库是去年12月的，并且测试的时候都是断网的好吧，不过话又说回来了，sonar分析的时候的确会调用病毒库，就像KIS2011分析程序分组时也会调用病毒库一样，但是病毒库的新旧对其行为防御的影响十分有限

显示全部楼层 · 发表于 2011-3-9 09:39:18

本帖最后由 leisong 于 2011-3-9 09:40 编辑

回复 80楼 Tron 的帖子

我跟的这个贴就是测的这个毒了
因为楼主不贴图，我好奇过了什么地方
云查杀只能查到一个恶意模块，另一个没查到啊

那个断网的，我刚拿7.7.1005测了，还是不拦截啊，又是分批更新的啊？

显示全部楼层 · 发表于 2011-3-9 09:40:47

leisong 发表于 2011-3-9 09:39
回复 80楼 Tron 的帖子

我跟的这个贴就是测的这个毒了

今天会调整升级到所有beta

显示全部楼层 · 发表于 2011-3-9 09:40:58

本帖最后由 leisong 于 2011-3-9 09:44 编辑

回复 81楼 fzq198776 的帖子

你看贴图就知道了嘛，就是你主贴的木马啊，我跟的就是这个贴嘛

显示全部楼层 · 发表于 2011-3-9 09:41:43

本帖最后由 fzq198776 于 2011-3-9 09:42 编辑

leisong 发表于 2011-3-9 09:40
回复 81楼 fzq198776 的帖子

你看贴图就知道了嘛，就是你主贴的木马啊，我跟的就是这个贴嘛

微点反正提示发现未知木马，然后删除病毒本体和衍生物，删没删干净就不知道了。。。虚拟机里的微点是去年12月初的

显示全部楼层 · 发表于 2011-3-9 20:09:16

jefffire 发表于 2011-3-8 20:26
sonar是虚拟行为分析，配合云信誉分析。在样本实际运行后，sonar不起作用，和微点不一样。所以sonar安全性 ...

sonar还是会回滚的，只不过越来越少见了

http://bbs.kafan.cn/thread-922581-1-1.html

显示全部楼层 · 发表于 2011-3-9 20:49:06

fzq198776 发表于 2011-3-9 09:38
怎么可能，我虚拟机上NIS2011的病毒库是去年12月的，并且测试的时候都是断网的好吧，不过话又说回来了， ...

虚拟机里有镜像更好，能不能看一下sonar的详细历史记录，到底是虚拟启发防御还是回滚清除？

日志在：安全历史记录-左上角选择sonar活动-更多信息-点界面右上角帮助下面那个图标，日志就复制到剪切板了

显示全部楼层 · 发表于 2011-3-9 21:08:37

wjcharles 发表于 2011-3-9 20:49
虚拟机里有镜像更好，能不能看一下sonar的详细历史记录，到底是虚拟启发防御还是回滚清除？

日志在：安 ...

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
2011-3-9 ( 21:04:21 )
上次使用时间:
2011-3-9 ( 21:04:36 )
启动项:
否
已启动:
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自 URL 不可用
源文件:
winrar.exe创建的文件:
netbar虚拟机可运行.exe
____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\netbar虚拟机可运行.exe
已删除
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

这个是回滚吗？？

显示全部楼层 · 发表于 2011-3-9 21:17:40

fzq198776 发表于 2011-3-9 21:08
完整路径: 不可用
____________________________
____________________________

不是回滚，那就是MJ所说完美防御了，样本没有对系统造成任何改动，直接被sonar虚拟启发了

回滚见这个http://bbs.kafan.cn/thread-922581-1-1.html

[讨论] 召唤MJ，过数字卫士云主防的样本