6月卡饭测试瑞星每日未报样本测试及分析【更新至6.9日】

baerzake

卷首语：该帖属个人自娱自乐以及和大家交流所用，由于各种因素本人不能保证每日样本都会分析，另外由于本人不是毒包测试人员，不能第一时间拿到密码，所以一般我会在样本发出的第二日进行分析，本人水平有限，如有错谬，请指正。


每日未报样本见http://bbs.kafan.cn/forum.php?mo ... 1864&fromuid=268818

6.9日未报样本分析

样本21

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... 90fbb3fb521ec2e8a32

这是一个常见无害样本，前面分析过多次了。该样本修改CU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings，连接tuyearfa.com ，运行样本后未有远程下载木马的动作，瑞星系统加固和木马防御未报属正常。


样本35、36、37、38、39

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... 9b83b6fc3d9b57b1493

这5个样本除了MD5不一样，其实是同一个样本，CIMA在线分析没有发现任何有害行为。但奇怪的是除了样本35外，其他4个样本运行后均会被木马防御拦截。究竟是触发了木马防御什么规则现在还不清楚。用MD监控运行也没有发现什么可疑操作，只是不停的连接网络，但是为什么样本35又不报呢？难道是因为有假冒的微软签名？但是我已经取消了信任签名和云了。这个不知道为什么报也不知道为什么不报呵呵。

样本43

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... a6d8c7466524d00e280

该样本运行后自动退出，无有害行为。瑞星系统加固和木马防御未报属正常。

6.7日未报样本分析

今天的未报样本都是老面孔啊，前几天的分析中已经出现过甚至不止一次，毫无新意啊

样本30

CIMA在线分析：http://camas.comodo.com/cgi-bin/submit?file=8dc645afb3577f612ad2d50743beb4ee811dddc91fbe31552611ac6fa8603771

该样本运行后，除了创建进程svchost.exe，无任何其他动作，可认为是无害样本（也有可能需要特定环境触发），瑞星系统加固和木马防御未报属正常。

样本32

CIMA在线分析：http://camas.comodo.com/cgi-bin/submit?file=3c649b7c9323f287aed8f1258dd3fe16177c6681c9a3e6087f6d93c3c41e36b2

同上。

样本41

CIMA在线分析：http://camas.comodo.com/cgi-bin/submit?file=d69c9fd11aca3153499b1c13638bfbb6aac04434242236e696971734a99486bd

该样本修改CU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings，连接tuyearfa.com 和www.mootolola.com （这个一看就是假冒摩托罗拉呵呵），运行样本后未有远程下载木马的动作，瑞星系统加固和木马防御未报属正常。

样本49

CIMA在线分析：http://camas.comodo.com/cgi-bin/submit?file=955442306ec674fd6ef2952590108299617f45e12ebfa0893179370f98fe76c8

该样本修改CU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings，连接auto.search.msn.com，运行样本后未有远程下载木马的动作，瑞星系统加固和木马防御未报属正常。

6.5日未报样本分析

样本19

CIMA在线分析：http://camas.comodo.com/cgi-bin/submit?file=c884d3e2b3f18cea96b382133049b1486a3d2b00b82695cadfaabb155a6bfa72

CIMA显示该样本无任何动作，双击样本运行后出错，应该是失效样本。瑞星系统加固和木马防御未报属正常。

样本36

CIMA在线分析：http://camas.comodo.com/cgi-bin/submit?file=d50ef4e145399281fab35c720491b8291798d02771c4d927ee1c46211299b97b

该样本和昨日样本35是同一样本，详情请参考昨日分析。瑞星系统加固和木马防御未报属正常。

6.4日未报样本分析

样本22

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... b4324e3ef03d0cdbb07

该样本运行后，除了创建进程svchost.exe，无任何其他动作，可认为是无害样本（也有可能需要特定环境触发），瑞星系统加固和木马防御未报属正常。

样本35

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... 74784a7e3ae92ea667b

该样本又是熟面孔，和3日的样本行为一样，修改CU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings，连接tuyearfa.com 和www.mootolola.com （这个一看就是假冒摩托罗拉呵呵），运行样本后未有远程下载木马的动作，瑞星系统加固和木马防御未报属正常。

样本38

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... 9b3a5b3aa7de78759e7

该样本被CIMA定义为可疑，从报告来看，能称得上可疑的动作就是在program file根目录下创建了大量dll文件，但该动作并不能确定样本为恶意程序。另外该样本在后台安装了一个叫“珊瑚浏览器”的软件，并调用该软件运行，从这一系列动作来看该样本的目的是安装珊瑚浏览器并运行，其本身并没有真正意义上的病毒行为，可以看做流氓程序。而其创建并运行的珊瑚浏览器运行后系统加固拦截其访问底层磁盘（见下图，截的时候忘了把规则那个图也截了囧），此外并无其他恶意动作，从底层磁盘访问我们无法判定其为恶意程序，毕竟有些正常程序也会如此，我倾向于认定该样本为恶意推广珊瑚浏览器的流氓程序。瑞星系统加固和木马防御未报属正常，但个人认为目前越来越多得木马病毒开始把program file根目录当做藏身之地，建议可以自定义规则拦截程序在该目录创建exe, dll等类型文件，由于现在绝大多数正常程序都会在program file目录下自建子目录安装，所以该条自定义规则并不会在正常使用时带来困扰，但可以更早一步拦截到利用此目录的恶意程序。

6.3日未报样本分析

样本28

该样本和昨日样本基本一样

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... 9b023101de99eac9559

仅仅是连接的网址不同，该样本试图连接auto.search.msn.com ，详情可见昨日样本分析。瑞星系统加固和木马防御都没有报是正常的。


样本33

这个样本有点奇怪

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... 7bd88ff0503093e0323

显示该样本修改了LM\Software\Microsoft\DrWatson\NumberOfCrashes的值，这个值我看了一下微软的解释（http://technet.microsoft.com/zh-cn/library/cc738751(WS.10).aspx），似乎是用来记录程序出错崩溃次数用的，当程序出错时会自动调用Drwatson记录程序出错次数以及生成dump文件，同时该样本创建了目录C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson以及在此目录下创建了文件drwtsn32.log和user.dmp，并且修改了文件C:\WINDOWS\system32\config\AppEvent.Evt。

该样本并没有联网，不知道其目的何在。实机运行后，该样本会调用Dr watsom弹出程序出错对话框，我猜测该样本为恶作剧程序的可能性较大。瑞星系统加固和木马防御都没有报是正常的。
补充：该样本应该是崩溃了呵呵，自己钻到牛角尖里了有木有啊！

6.2日未报样本分析

CIMA在线分析：http://camas.comodo.com/cgi-bin/ ... fce4a35808585505778

通过在线分析，发现此样本会修改iE连接设置相关注册表：CU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings，该键值修改对系统无实质危害，有洁癖者也可以将其加入系统加固规则。

并试图连接www.youseemore.com ，但未能打开（通过浏览器可以打开），该网址可能是被挂马网站OR钓鱼网址，但通过VT在线检测，仅有一家报为恶意站点http://www.virustotal.com/url-sc ... 873695e5-1307059263。

由于该样本无实质有害动作并且连接www.youseemore.com 失败，可以认为该样本是无危害的失效样本，瑞星系统加固和木马防御都没有报是正常的。

知微

那就算100%了.........不知道误报怎么样

hj5abc

测试区的包，总是有那么些囧样本，双击了一个月有感

baerzake

知微 发表于 2011-6-3 10:24
那就算100%了.........不知道误报怎么样

系统加固属于单步，不存在误报，遇到就弹框，不过默认的规则都是有针对性的，正常软件触发的概率不大。
木马防御属于多步，还未发现误报。

baerzake

hj5abc 发表于 2011-6-3 10:31
测试区的包，总是有那么些囧样本，双击了一个月有感

这样的样本其实经常会占据卡饭每日毒包的不小的比例。

heaven888

baerzake 发表于 2011-6-3 10:56
这样的样本其实经常会占据卡饭每日毒包的不小的比例。

其中还有许多重复样本…

仙女棒

虽不会去测试样本，但感觉用了瑞星，心里就很踏实。

png128

看起来不错

坐怀不乱

了解了，我觉得瑞星相比其他主流杀软，误杀率算小的

XMonster

baerzake 发表于 2011-6-3 10:55
系统加固属于单步，不存在误报，遇到就弹框，不过默认的规则都是有针对性的，正常软件触发的概率不大。
...

木马防御类似微点，系统加固类似TF…期待局长的瑞星规则