【威脅】11隻新威脅登場~

[esjustin]

概要:

在下經過3個禮拜的審慎採集之後,終於收集完了在即時通上流傳的11隻新威脅(11月11日~11月25日)...

由於在下目前安裝的防毒是AntiVir,所以無法測試HIPS(在下也無時間,因為要段考了 )...

另外在下對於11隻威脅的偵測能力測試,是使用VirusTotal線上掃描,因為其中Kaspersky似乎有版本老舊的問題,因此Kaspersky無法偵測之部分都另外經過Kaspersky官方網站進行掃描...

測試日期:11月25日

測試環境:WinXP , P4 1.82 GHz , RAM256MB



常駐:Yahoo即時通,AntiVir 免費版

提要:

18love.scr:根據掃描結果來看,是個後門...各大廠皆可偵測(Kaspersky偵測得到,只是VirusTotal不知怎麼一回事)..

a.htm:含有惡意代碼的網頁..(只有BD,Mcafee,Fortinet可偵測)

abc.jpg.scr:木馬變種..(幾乎所有廠商都偵測為未知威脅,如:Panda,只有BD,AVG,DrWeb,Microsoft可以直接偵測到,Kaspersky則無法偵測)

aido.pif:正統專偷帳密的木馬..(Kaspersky和各大廠皆可偵測)

bbc.jpg.scr:也是專偷帳密的木馬..(Kaspersky和各大廠皆可偵測到)

com.exe:單純的偷帳密木馬變種(Kaspersky和Panda無法偵測,但是其他大廠幾乎都偵測得到)

feng.exe:木馬(能偵測的大廠商減少一些了,Kaspersky,Panda,DrWeb無法偵測)

gamei.exe:專偷帳密的木馬變種(3分之1的廠商用啟發式偵測到,各大廠均可直接偵測,唯獨Kaspersky)

love.com:11月25日新出來的木馬(只有AntiVir,eSafe,Fortinet,McAfee,Panda偵測到!)

svch00st.exe:含有後門性質的木馬(Kaspersky和各大廠均可偵測)

tap.scr:11月25日的新病毒(Kaspersky,NOD32,Panda無法偵測,其餘都是小廠商偵測到,AntiVir這大廠卻可偵測)

偵測報告:在下只刊登各大廠的偵測報告,其餘則省略...

AntiVir(偵測數:10,使用啟發式:1,未偵測:1)

Avast(偵測數:7,使用啟發式:0,未偵測:4)

DrWeb(偵測數:8,使用啟發式:0,未偵測:3)

BitDefender(偵測數:10,使用啟發式:4,未偵測:1)

Kaspersky(偵測數:4,使用啟發式:0,未偵測:7)

Mcafee(偵測數:9,使用啟發式:3,未偵測:2)

NOD32(偵測數:8,使用啟發式:7,未偵測:3)

Panda(偵測數:7,使用啟發式:3,未偵測:4)

後記:

AntiVir,因為在下有傳送幾隻給他,所以能偵測到10個,原本應該只有8個以下 (不過當時他的啟發式可以偵測2~4個)

Avast,算是偵測率中等,不過它有內建入侵防禦,一般使用者可以考慮看看..(免費版偵測率和付費版一樣)

DrWeb,來自俄羅斯的老手,偵測率中上,還算可以,不過啟發式的能力似乎沒有顯現

BD,是所有防毒中偵測率最高的的一個,同時此報告也證明其啟發式的強大..

Kaspersky,我真的該唸唸他,最近不知道怎搞的,偵測率大大下降 (信好還有免疫防禦做後盾..如果用免疫防禦測試,剩下的7個應該都可以攔截到 )

Mcafee,它的啟發式最近很有用,彌補更新慢的缺點..偵測率中上,搭配自家的防火牆是很好的選擇...

NOD32,啟發式佔了4分之3 ..不過威脅資料庫小的缺點真的需要改進

Panda,啟發式沒有如預期的好,可以試試看他的行為防禦能不能攔截沒有偵測到的,偵測率尚可...

備註:這次測試整整花了在下1個半小時 ,希望各位多給點意見以及此文章可供全部轉載,不過須註明"By SuenOne"字樣

11隻威脅壓縮檔下載點

解壓縮密碼:virus

[proll]

卡巴 4.0的引擎是最強大的，但效能不夠高。

[hn1271n]

請問Kaspersky和Panda能偵測abc.jpg.scr嗎

[proll]

啟髮式和報殼是完全不同的，恐怕不少廠商都是屬於報殼類。

屬於報殼和誤報的，比較常見的如下：

HEUR/Crypted
(Suspicious) – DNAScan
generic
Trojan-PSW.Win32.Nilage.aep
Backdoor.Win32.PcClient.GV
suspicious Trojan/Worm
Mal/Packer
Packed.Win32.Klone
New Malware.g
Trojan.Win32.Crypt.v
Win32.CRYPT.virus
AntiVir7.2.0.4411.22.2006BDS/Hupigon.DP
Avast4.7.892.011.20.2006Win32:Hupigon-RW

[proll]

最好能把样本提供出来，我来测试一下Panda的HIPS。因为很多威胁释放的档能杀也算是可以杀掉。

[esjustin]

屬於報殼和誤報的，比較常見的如下：

HEUR/Crypted(AntiVir啟發式報的)
(Suspicious) – DNAScan
generic(BD啟發式有些報這個開頭的)
Trojan-PSW.Win32.Nilage.aep
Backdoor.Win32.PcClient.GV(Kaspersky報的)
suspicious Trojan/Worm
Mal/Packer
Packed.Win32.Klone
New Malware.g(Mcafee啟發式)
Trojan.Win32.Crypt.v
Win32.CRYPT.virus
AntiVir7.2.0.4411.22.2006BDS/Hupigon.DP
Avast4.7.892.011.20.2006Win32:Hupigon-RW

HEUR/Crypted(AntiVir啟發式報的)

generic(BD啟發式有些報這個開頭的)

Backdoor.Win32.PcClient.GV(Kaspersky)

New Malware.g(Mcafee啟發式)

[esjustin]

另外在下嚴重聲明!!此11威脅均為台灣區之網路與即時通上流傳之威脅...

請勿以此當作全球性之偵測率,Kaspersky只是在台灣區的偵測率下降而已...

以及歡迎之前力挺PCC的前輩,測試您的PCC吧,在下認為除非用PCC的行為防禦,否則要全部都偵測到,是不可能的任務啊~

[esjustin]

請問Kaspersky和Panda能偵測abc.jpg.scr嗎

Kaspersky無法偵測..Panda的啟發式可以偵測到...

[baba_yu]

最好能把样本提供出来，我来测试一下Panda的HIPS。因为很多威胁释放的档能杀也算是可以杀掉。

Panda HIPS 本人認為多餘的 沒大大用處 沒指出行為跟微點類似 比卡巴還差



Check system areas...
Check selected directories and files...
Object: data.rar winlogin.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\18love.scr
Status: Virus detected
Virus: Trojan-PSW.Win32.Nilage.anp (KAV engine)
Object: data.rar cmcc.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\18love.scr
Status: Virus detected
Virus: Trojan-Downloader.Win32.Agent.xi (KAV engine)
Object: (RAR Sfx o) winlogin.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\18love.scr
Status: Virus detected
Virus: Trojan.PWS.Gamania.DI (BD-Engine)
Object: (RAR Sfx o) server.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\18love.scr
Status: Suspected virus
Virus: Generic.Malware.FB.4636F48C (BD-Engine)
Object: (RAR Sfx o) cmcc.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\18love.scr
Status: Virus detected
Virus: Trojan.Downloader.Agent.XI (BD-Engine)
Object: 18love.scr
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Trojan-PSW.Win32.Nilage.anp, Trojan-Downloader.Win32.Agent.xi (KAV engine), Trojan.PWS.Gamania.DI, Generic.Malware.FB.4636F48C, Trojan.Downloader.Agent.XI (BD-Engine)
Object: abc.jpg.scr
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Generic.Malware.dld!!.AED98BF4 (BD-Engine)
Object: data.rar server.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\bbc.jpg.scr
Status: Virus detected
Virus: Trojan-PSW.Win32.Maran.au (KAV engine)
Object: (RAR Sfx o) server.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\bbc.jpg.scr
Status: Virus detected
Virus: Trojan.PWS.Maran.AU (BD-Engine)
Object: bbc.jpg.scr
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Trojan-PSW.Win32.Maran.au (KAV engine), Trojan.PWS.Maran.AU (BD-Engine)
Object: tap.scr
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Backdoor.Graybird.GV (BD-Engine)
Object: com.exe
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: DeepScan:Generic.Malware.SFPBPk.FDFE43B8 (BD-Engine)
Object: svch00st.exe
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Trojan-Clicker.Win32.VB.pc (KAV engine), Trojan.Clicker.VB.FS (BD-Engine)
Object: data.rar winlogin.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\aido.pif
Status: Virus detected
Virus: Trojan-PSW.Win32.Nilage.anp (KAV engine)
Object: (RAR Sfx o) server.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\aido.pif
Status: Suspected virus
Virus: Generic.Malware.FB.BB841DE3 (BD-Engine)
Object: (RAR Sfx o) winlogin.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\aido.pif
Status: Virus detected
Virus: Trojan.PWS.Gamania.DI (BD-Engine)
Object: aido.pif
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Trojan-PSW.Win32.Nilage.anp (KAV engine), Generic.Malware.FB.BB841DE3, Trojan.PWS.Gamania.DI (BD-Engine)
Object: (ZIP Sfx o) server.exe
In archive: E:\v15\NewVirus-C.YahooM-N.11-\gamei.exe
Status: Virus detected
Virus: Generic.Lineage.DD3A15BC (BD-Engine)
Object: gamei.exe
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Generic.Lineage.DD3A15BC (BD-Engine)
Object: a.htm
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Generic.XPL.ADODB.C609CB22 (BD-Engine)
Object: feng.exe
Path: E:\v15\NewVirus-C.YahooM-N.11-
Status: Virus detected
Virus: Dropped:Trojan.Spy.HAKvip.A (BD-Engine)
Analysis complete: 2006/11/25 下午 09:42
11 files checked
10 infected files detected
0 suspected files detected

[hn1271n]

能不能順便測試諾頓?