2007-07-25

Norton AntiBot被徹底的過了

原本只是單純的在測試Panda 2008的Truprevent功能
因為這個功能在Panda 2007 11.00.02(不含)後就失效了
我曾經回報過這個問題,所以我就試看看在2008上是否被修正了
其中一個樣本,就是之前很流行的黑色炸彈,在開啟Panda的已知病毒防護下系統被瓦解
並且再啟不能!

以下是賽門鐵克對黑色炸彈的資訊
http://www.symantec.com/security ... 4515-99&tabid=2

Panda死了以後,我就測試看看其他軟體,測了Cyberhawk Pro,還有Norton AntiBot跟F-Secure
其中F-Secure因為已經入庫,無法測試DeepGuard的防禦能力如何,所以以下只比較Cyberhawk Pro跟Norton AntiBot

首先這是病毒樣本跟正常程式放在一塊的樣子,可以清楚的看到圖示是正常的


直接運行樣本,檔案馬上就被感染了,同時系統上其他的*.exe也正迅速被感染中


桌面上也多出一個黑色炸彈的程式,執行後是作者對你勒索的宣言


打開Norton AntiBot他沒有任何反應,此時還可以明顯感覺的硬碟的I/O正在飛快的存取
而且在進程監視器中,black-day.exe亮了兩個黃燈,如果你選擇終止進程,黑色炸彈會重生
並且繼續感染你的系統,必須選擇隔離,感染的動作才總算停止了



接下來就是Norton AntiBot正在做清理的動作,還蠻久的我等了大約有10分鐘以上


最後提示重新啟動系統


我在啟動之前看了一下狀態,顯示移除了993的malware(與圖片不同是因為我事先截圖的關係)



重開機後系統還是掛了...


Norton AntiBot被打敗了...
其實我測試Norton AntiBot的樣本還不多,黑色炸彈雖然不如熊貓燒香或是威金那麼有名
但是沒有在第一時間擋住說真的還漫奇怪的,因為黑色炸彈並不算罕見,而且破壞力又高

然後我又測試了CyberHawk Pro
樣本一執行,隨既出現警告並阻止了進程的行為


等級評定為非常危險

告訴你這類攻擊普遍出現於蠕蟲以及木馬上,選項上我選擇拒絕但不記住這個動作


然後又執行了一次這個黑色炸彈,這回CyberHawk Pro挑出了紅色警告
而且沒有其他動作的選項給你按,按了繼續後,黑色炸彈直接被刪除了


刪除後你可以在Cyberhawk Pro的隔離區中發現它的芳蹤


結論:
沒有一款軟體是無堅不摧的,在我長期測試HIPS的時間裡
如犀牛,SSM,KAV,F-Secure,GSS等被過也都有,但普遍來說機率很低
有些像KAV以及Panda又經常被我拿放大鏡來檢驗
何謂用放大鏡檢驗?就是我會把它們的緝毒引擎的即時防護關閉
然後單單測試PDM以及Truprevent功能,既使在這樣的情況下被過的機會還是非常的少
證明了他們的防護機制是經的起火煉的

Cyberhawk Pro最近這幾次的改版非常顯著,跟以往我剛使用的時候真的有蠻大的差別
首先系統資源的佔用降低,不脫開機的速度,測了不少樣本抵擋的成功率非常高,至少我測到目前還沒有被過
舊版的Cyberhawk Pro實在真的有些容易被過,我每天都可以遇到至少一隻可以過Cyberhawk Pro的樣本
不過現在改善很多了,如果不需要使用Rootkit Scan還有規則自定這些功能,Cyberhawk Free真的會是一個非常不錯的選擇!

4 則留言:

  1. 有個疑問,第二次執行時Cyberhawk怎麼知道該程式是「worm/Delf.CJQ」?是透過它的社群連線回報功能取得的程式資料嗎?如果是這樣的話,community protection是否要開著比較好?有點線上病毒庫的感覺。

    ㄚ一站長之前曾提過Cyberhawk跟KAV一樣,善用自訂規則可以大幅提昇效率和保護。不知ㄚ一對Cyberhawk的自訂規則設定有沒有什麼範本或建議?目前只有將幾個常駐程式和輸入法加入Trust以減少系統負荷。

    回覆刪除
  2. 第一個問題我想應該不是像你想的那樣,因為其他的HIPS軟體也有同樣的特性,病毒的攔截靠的是行為判斷,並非傳統的特徵碼緝毒,他告訴你的只是一個高樣本的大概類型,用久了你就會知道這個判斷其實是不太準確的

    增加規則還不至於能夠提高軟體的效率,但可以有效的加強防護的能力,你可以用他來保護你想要保護的程式或是註冊表,規則的寫法跟mcafee差不多,需要一點耐心才能完善

    回覆刪除
  3. 下載AVP CLUB的mcafee規則表來參考可以套用嗎?

    因為之前我下載了EQSecure的規則、也翻了ㄚ一站長你寫給KAV6使用者的規則來看,但是設定方式上差蠻多的,一個看不懂、一個不會套用……

    回覆刪除
  4. 喔!在McAfee版看出一點感覺了,Cyberhawk的規則寫法真的跟mcafee比較像,多謝提點。

    回覆刪除