扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:ZDNet安全频道 来源:ZDNet安全频道 2010年10月26日
关键字: 绑架型木马
【本文评测为网友测试,不代表ZDNet安全频道赞同评测结论】
从2010年初到现在,一种全新的木马大规模的爆发。它们拥有多重病毒的特性,有的时候好像计算机木马一样窃取帐号密码,而有的时候又好像流氓软件篡改系统的相关属性,所以网友们习惯将这类病毒称之为“绑架型木马”。那么对付这样的病毒木马,杀毒软件还可以胜任吗?今天我们就来看看国内常见的几款杀毒软件,在对付这类“绑架型木马”的时候结果会怎样。
一、测试环境
既然是进行杀毒软件的测试操作,那么首先需要寻找一个“绑架型木马”的样本,于是我在国内知名的安全论坛“卡饭”,找到一个标题名为“生成ie图标和淘宝图标”的病毒样本。这个病毒运作以后,会在系统的桌面和快捷启动栏中,生成一个虚假的淘宝图标和IE浏览器图标。当用户点击虚假的IE浏览器图标后,会自动连接到一个导航网站的首页。当用户点击虚假的淘宝图标后,会自动连接到淘宝网的“特卖频道”网页。而今天测试的杀毒软件,包括360杀毒、瑞星杀毒软件、金山毒霸、NOD32和卡巴斯基,测试的杀毒软件版本都是各自当前最新的正式版。
二、测试结果
首先我们在虚拟机里面运行这个病毒样本,接下来在分别安装运行每个杀毒软件。通过杀毒软件对系统进行扫描分析,来看看杀毒软件是否可以对病毒进行清除,并且是否可以对虚假的图标进行清除操作。
1.瑞星杀毒软件 2010
瑞星杀毒软件的扫描比较缓慢,可是最终一个病毒文件都没有分析出来,同样也没有分析出桌面上的虚假图标。看来瑞星杀毒软件还没有收录这个病毒样本,所以无法对这个病毒文件进行查杀,当然也无法指望它清除系统桌面中的虚假图标。
2.金山毒霸 2011 SP3
金山毒霸的分析过程比较快,而且给出了病毒木马文件、修改IE默认设置的病毒、以及存在异常的快捷方式等提示,从这我们就可以看出金山毒霸已经将病毒的主要体现都分析出来呢。点击“立即处理”按钮后,金山毒霸将系统桌面的病毒文件进行清除,但是位于桌面上的虚假图标居然纹丝未动。不过当我在点击“返回”按钮后,金山毒霸提示有病毒需要重新启动后才可以删除。于是按照要求重新启动操作系统,果然在重新启动以后虚假图标得以清除。为了避免虚假图标会重新出现,我又观察了一个多小时的时间,发现虚假图标的却是没有再出现呢。
3.360杀毒 1.2
360杀毒的分析过程还不错,因为很快就提示用户有“危险的桌面图标”,并且成功的分析出了病毒样本的文件。当我们点击杀毒软件的“开始处理”按钮后,可以看见病毒样本的文件被成功删除,与此同时桌面的虚假图标也被成功的进行删除。正在我暗自庆幸的时候,这些虚假图标又自动出现在系统桌面和快速启动栏,看来360杀毒对虚假图标的处理非常不彻底。于是我又重新利用360杀毒进行再次扫描,可是非常悲剧的一幕出现呢。在扫描的过程中,360杀毒扫描服务意外终止,提示用户用急救箱进行修复。看来想指望360杀毒来清除虚假图标是不现实的呢。
4.NOD32 4.2
NOD32秉承了它一贯扫描速度快的特征,利用极短的时间就分析出两个病毒文件。分别是系统桌面和系统目录中的病毒文件,并且利用自身的功能对其进行了清除操作。不过可惜的是NOD32并没有分析出系统桌面的虚假图标,所以也不能对这些图标进行删除操作,以及修复这个病毒对系统属性的破坏。
5.卡巴斯基 2011
其实还没有利用卡巴斯基进行扫描,它的实时监控功能就开始弹出提示框,告知用户系统里面存在病毒并进行删除。可是当卡巴斯基将其删除以后,这些病毒文件又很快的衍生出来,这样删了出到出了删的过程就周而复始的进行着。这样当卡巴斯基对磁盘扫描完成以后,存在于系统桌面和系统目录中的文件同样存在。而且卡巴斯基也没有分析虚假图标的相关功能,所以自然而然也不能对这些图标进行删除操作。
小结:2010年,杀毒圈里流传了一句话,“绑架型木马就像中风,后遗症害死人”。意思是说,杀毒软件在用户的电脑中发现一个绑架型木马的文件不难,而且也很容易就可以查杀掉。但查杀后,用户电脑系统出现的异常问题,以及一些常用软件无法正常使用等问题,并不是普通的杀毒软件可以解决的。笔者经过一番测试,发现目前国内的杀毒软件中,只有启用了修复引擎的金山毒霸2011 SP3能够彻底查杀绑架型木马,并解决因绑架型木马而引发的系统后遗症。由此看来,面对病毒制作者不断创新的病毒技术,杀毒厂商们也需要与时俱进了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。