Norton AntiBot被徹底的過了

ㄚ一 · 2007-07-25, 08:39 PM

原本只是單純的在測試Panda 2008的Truprevent功能
因為這個功能在Panda 2007 11.00.02(不含)後就失效了
我曾經回報過這個問題,所以我就試看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的已知病毒防護下系統被瓦解
並且再啟不能!

以下是賽門鐵克對黑色炸彈的資訊
http://www.symantec.com/security_res...515-99&tabid=2

Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot

首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的

直接運行樣本,檔案馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中

桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言

打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了

接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上

最後提示重新啟動系統

我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)

重開機後系統還是掛了...

Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並不算罕見,而且破壞力又高

然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為

等級評定為非常危險

告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作

然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了

刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤

結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的

Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇!

**kk_pczone** · 2007-07-25, 10:00 PM

沒密碼
解不開

ㄚ一 · 2007-07-25, 10:53 PM

密碼:1

還有請不要拿去害人,這顆炸彈一執行感染成功
系統大概就掛一半了

**天氣預報** · 2007-07-26, 01:02 AM

我剛測這隻沒有列入定義檔庫啊
用VT掃也是沒入庫

**pcboy** · 2007-07-26, 08:33 AM

AntiBot針對的是Bot

黑色炸彈 W32.Whacker.A 是 Type: Virus, Worm, 不是 Bot
http://www.symantec.com/security_res...515-99&tabid=2

Norton AntiBot
Protect your PC from being hijacked.
http://www.symantec.com/home_homeoff...d=is&pvid=nab1

* FeaturesIs compatible with other security products as an added layer of protection against bots and other emerging threats
* Actively monitors your PC 24x7, so it’s always protected
* Removes detected Web robots and other malicious software, even at deep levels of your Windows® system
* Protects against emerging variants of bots and other malicious software—without relying completely on protection updates
* Has minimal impact on your PC’s performance, so you can continue to work and play normally
* Detects malicious software at the deepest levels of your Windows® system in real time to defeat hidden attacks that other products can’t tackle
* Blocks PC hijacking attempts to protect your computer
* Stops and removes malicious bots before they can cause damage or steal personal information
* Adds an extra layer of protection against emerging threats, which helps stop “zero-day” attacks

琥珀 · 2007-07-26, 10:42 AM

正義和邪惡的對抗，邪惡的一方獲勝。

ㄚ一 · 2007-07-26, 01:10 PM

作者：pcboy

AntiBot針對的是Bot

黑色炸彈 W32.Whacker.A 是 Type: Virus, Worm, 不是 Bot
http://www.symantec.com/security_res...515-99&tabid=2

Norton AntiBot
Protect your PC from being hijacked.
http://www.symantec.com/home_homeoff...d=is&pvid=nab1

* FeaturesIs compatible with other security products as an added layer of protection against bots and other emerging threats
* Actively monitors your PC 24x7, so it’s always protected
* Removes detected Web robots and other malicious software, even at deep levels of your Windows® system
* Protects against emerging variants of bots and other malicious software—without relying completely on protection updates
* Has minimal impact on your PC’s performance, so you can continue to work and play normally
* Detects malicious software at the deepest levels of your Windows® system in real time to defeat hidden attacks that other products can’t tackle
* Blocks PC hijacking attempts to protect your computer
* Stops and removes malicious bots before they can cause damage or steal personal information
* Adds an extra layer of protection against emerging threats, which helps stop “zero-day” attacks

這款本來就是用來防禦零天攻擊的智能化hips
只能防bot誰要買?

看一下這套軟體的原始廠商根本沒說只能防bot而防不了trojan跟worm
http://www.sanasecurity.com/buy/prsc_learn.php

轉貼一則新聞

近日賽門鐵克發佈了Norton AntiBot軟體的一個免費公開beta版本，它能夠透過分析系統中惡意軟體的行為來進行識別。

　　單機版的Norton AntiBot使用了來自Sana Security的現有技術和來自賽門鐵克SONAR行為掃描技術的若幹小插件，後者已經集成到Norton系列產品中。

　　賽門鐵克表示，Norton AntiBot是作為殺毒軟體的補充而不是替代品，並且它沒有使用傳統殺毒軟體所用的簽名技術。Norton AntiBot對程式的行為進行檢查，包括程式從哪裏運行，程式作了那些註冊表修改，會訪問那些網站等等。賽門鐵克表示這個產品不會和自己或競爭對手的殺毒產品衝突。

　　賽門鐵克表示，SONAR功能隻在進行病毒掃描過程中啟動，而Norton AntiBot則會一直駐留在後台來觀察所有程式的行為。雖然其名字強調特別針對“bot”惡意軟體，但它還會掃描其它所有可疑的程式行為，包括鍵盤記錄程式和其它可疑的活動。

　　這個beta版可以從賽門鐵克的網站上免費下載。賽門鐵克計劃在7月左右推出AntiBot的最終版，但目前還沒有公佈這個產品的價格，但它表示有可能會在其現有的殺毒產品中加入同樣的功能。

http://big5.pconline.com.cn/b5/www.p...6/1032588.html