最 近俄罗斯的著名杀毒软件厂商卡巴斯基和国产的二大著名杀毒软件厂商瑞星和江民为“熊猫烧香”病毒打起了口水战.笔者看了他们争论的问题焦点其实有二个,一 个就是卡巴斯基和瑞星和江民能不能在没有熊猫烧香病毒特征码的情况下拦截并杀除他.另外一个是在熊猫烧香病毒感染电脑后,各个杀毒软件厂商推出的专杀工具 是不是有用?
第一个问题很关键,这关系到杀毒软件对付未知威胁的能力,现在的主流杀毒软件大多都在特征码杀毒技术外增加了启发杀毒、虚拟机判断、行为杀毒、HIPS控 制等主动防御模块,,都不同程度的拥有了对付未知威胁的能力, 这次测试采用了打口水战的三方加上金山以及目前新兴起的微点.用笔者的机器(笔者机器为p43g,512内存)做小白鼠,采用了这些杀毒软件的当前版本, 但是都是去年的病毒特征码,用收集到的今年一月的几个熊猫烧香病毒变种来试验,经过六个小时惊心动魄的试验得出了一个完整的结果.
本次测试所用五款杀毒软件分别是:
卡巴斯基互联网安全套装6.0版 病毒库日期:2006年8月
瑞星杀毒软件下载版 病毒库日期:2006年12月
江民杀毒软件Kv2007 病毒库日期:2006年12月
金山毒霸2007杀毒套装 病毒库日期:2006年11月
微点主动防御软件 测试版 病毒库日期:2006年11月
第二个问题比较复杂,因为现在的专杀工具很多.对付熊猫烧香的水平也不一样.笔者准备只在最后用试验结合几次实际工作探讨一下.
一、卡巴斯基的表现和缺憾
首先出场的是声称在这次熊猫烧香病毒泛滥中,正版用户没有一个中毒的卡巴斯基。笔者从官方网站下载了卡巴斯基最全面的KIS(卡巴斯基安全套装),并打开所有的防御功能。ps:实测结果KAV一样。
然后安装,安装好以后故意不升级病毒库,这样卡巴斯基的病毒定义就是去年八月的。同时弄到了几个今年一月的熊猫样本进行测试。
|
病毒库日期 |
第一个熊猫病毒解压后,虽然扫描后没有发现病毒,但是一运行,卡巴斯基的主动防御模块就报警了!
|
红色警报 |
既然出现了红色的警报,说明这个软件的风险比较高。立即按终止。然后就是这样提示:
|
主动防御启动 |
按恢复后,卡巴斯基就清除了刚才熊猫造成的影响。也就是是说清除干净了。 然后笔者又运行了几个变种的熊猫,结果基本一样。然而,由于其中一个变种在解压的同时就发作,卡巴斯基当时就顿了一下,系统占用顿时非常高!虽然后来也是 弹出主动防御的拦截窗口,并提示恢复了更改。但是最后发现虽然其他软件都安然无恙,但是用来解压的winrar程序已经被感染!
|
WinRAR被感染 |
这个案例说明,卡巴斯基杀毒模块加上主动防御模块确实占用系统资源很高。在病毒也疯狂抢占系统资源的那一刹那。有可能来不及完全拦截住病毒,造成部分感染!
笔者在安装卡巴斯基的时候发现了这样一个问题,如果是自定义安装,在防御熊猫烧香病毒中发挥了重要作用的主动防御模块居然在他的默认安装时候是不默认安装启用的!
|
默认基本保护中没开启的选项 |
默认基本保护是这样的,主动防御模块有两个选项是没有启用的。
|
主动防御功能中没开启的一些功能 |
第二个打了红框的选项不是默认的!默认推荐大多数用户安装里面没有完整的安装主动防御!由于主动防御模块是新增加的,某些技术还在完善中。常有正常的程序 经常被主动防御报警,有时候甚至是红色的危险报警。估计卡巴斯基为了不给普通用户造成困惑,所以在自定义安装中默认不完全启用主动防御模块。 如果没有启用扩展防护,最后一步的恢复就是失败的,也就是不能完全清除。
|
恢复失败 |
卡巴斯基的小结:卡巴斯基的主动防御确实很优秀,在特征码无法识别的情况下确实可以拦截住新的熊猫烧香 病毒,但是由于安装时候为了方便用户,没有完全安装的主动防御是不能彻底恢复病毒的影响,同时由于某些熊猫烧香的变种的传染速度很快,卡巴斯基在一些配置 相对低的电脑上不能完全阻止病毒的传染。笔者机器为p43g,512内存似乎还不够。
二、惨烈的瑞星
第二个出场的是首先和卡巴斯基发生争吵的国产杀毒软件老大瑞星,瑞星2007版增加了大量新的功能。拥有了先进的虚拟机启发杀毒技术来对付未知威胁。他也 是这次测试的几款杀毒软件中最后发布的,所以病毒库也相应最新。在官方合作的网站下载了下载版的杀毒软件我就安装并开始测试。
|
瑞星杀毒软件2007版 |
|
病毒库日期 |
瑞星的Vista界面确实很漂亮。为了实现全面的保护,我开启了他的全部安全防护模块。然后运行了第一个熊猫病毒。
结果,系统立即报错,连给笔者反应的时间都没有系统就重新启动了!启动完后系统立即出现这个界面。
|
系统报错 |
然后系统已经出现了熊猫感染的症状。
|
熊猫感染的症状 |
不但瑞星的监控小绿伞已经被关闭,瑞星也无法启动。再看瑞星的安装目录,结果是这样一片熊猫。
|
被全面感染 |
最惨烈的是用瑞星自家的专杀工具清除了所有的熊猫烧香病毒后,瑞星还是无法正常启动, 连监控都变成了关闭的小红伞! 可以说是被熊猫烧香彻底破坏了。
三、略有遗憾的江民
江民在这次口水战中声称自己也有可以防御未知病毒的主动防御模块,笔者测试江民2007版的时候发现了他确实增加了比较全面的HIPS主动防御模块。完全开启是不是可以对付熊猫烧香的攻击呢?
为了测试,笔者也在官方下载点下载了一个2007版江民杀毒软件,还是只用他初始的病毒特征码库。
|
病毒库日期 |
|
开启关键的系统监控 |
然后运行下载的熊猫烧香病毒,果然被他的主动防御能力拦截住了!
|
主动防御发威 |
点按禁止,然后继续拦截了下一个衍生物。
|
再次拦截 |
再次禁止就彻底拦截了熊猫烧香病毒,然后又试验了几个熊猫烧香的变种,结果完全一样。这种表现确实令人兴奋,因为他和卡巴斯基以及瑞星一样,手动扫描是发现不了这个病毒的!
|
手动没有检测到熊猫 |
但是江民的这个主动防御模块由于没有智能判断能力,系统的所有改动他都要报警。在笔者先前的测试中,发现如果打开这个功能,不但系统资源占用比较多,甚至是安装一个软件就需要点击N次鼠标, 实在是不胜其烦。估计不少用户就因此关闭了这个功能,所以在这次熊猫烧香的肆虐过程中,不少江民的用户也没有逃过。还有,江民由于没有智能判断威胁程度, 所有的系统改动都没有分级,没有危险的威胁和常规改动都是一样的提示,这也让一些开启了的用户容易麻痹,有可能会无意中点击了允许。这样也会被熊猫烧香突 破,所以笔者对他的评价是有些遗憾,有拦截的能力,但是经常会因为种种原因不能得到发挥。
四、无言的金山
金山也是国产杀毒软件著名的三强之一,他在2007版中也增加了启发杀毒技术。他的启发杀毒对于未知病毒的检查怎么样呢?估计也是不少用户关心的。
|
病毒库日期 |
笔者安装了一个内置去年十一月病毒库的金山毒霸2007。然后也打开他全部的安全选项。
结果一运行熊猫烧香病毒,结果就出现这个窗口。然后虽然监控还在,但是金山毒霸却打不开了。
|
金山杀毒软件被破坏 |
然后,其实这时候病毒已经开始大面积传染了。连金山毒霸本身都没有幸免。
|
金山杀毒软件被感染 |
不过用专杀工具修复以后,金山毒霸又可以正常运行了。看来金山毒霸没有被病毒彻底破坏。
五、本次测试中表现出色的微点
前几天公布微软Vista系统漏洞而出名的安全专家刘旭成立的东方微点公司也推出了一款不错的微点杀毒软件,虽然还在公开测试中,但是已经依靠其强大的行 为杀毒技术在网络上有了一批拥护者。据他们反应,各种熊猫烧香病毒都被微点一一拦截,从来都没有中过熊猫烧香病毒!笔者也在实际工作运用中用他配合其他杀 毒软件来监控系统。
为了验证微点的实力,笔者特地卸载了自己的微点并下载安装了一个老版本的微点。病毒库特征码为11月20日的。
|
病毒库日期 |
熊猫烧香病毒一运行,然后就被拦截了。提示发现未知木马。
|
开始拦截 |
又试验了几个变种,其中一个一解压就自动运行的也被立即拦截。没有象卡巴斯基那样造成感染winrar的不幸事件!
|
压缩包内的病毒也被拦截 |
更新病毒特征码以后,微点也可以正常的识别熊猫烧香病毒了,这次一解压就识别杀除了!
|
更新病毒库后就能直接检测 |
解压到桌面的文件也被立即杀除!
|
直接提示删除 |
虽然微点还在测试中,对于一些应用程序的兼容还在完善中,关于一些正常程序进程的误报问题也还在改善中,但是在查杀未知病毒方面确实已经体现出强大的实 力。经过笔者的试用经验,感觉微点在主动防御方面的实力已经在卡巴斯基之上了!如果微点经过完备的测试,完善兼容和误报问题,确实在杀毒软件市场可以有一 定的作为。
后记:经过对几个杀毒软件的测试,可以得出这个结论:虽然熊猫烧香病毒的编写和传染没有使用新的技术, 但是在当前二种主流对付未知威胁的技术对比中,以这次和熊猫烧香病毒的对抗来说,行为杀毒技术完胜启发杀毒技术!因为这五种杀毒软件中除了微点只有行为杀 毒一种技术外,其他四种都拥有启发杀毒技术,特别是卡巴斯基和瑞星都还拥有号称第二代启发技术的虚拟机启发杀毒技术!
但是他们在用启发杀毒技术进行手动扫描都无法识别这几个熊猫烧香病毒的变种!但是他们运行时候都被二种行为杀毒技术拦截!就是利用了和行为杀毒原理相同的HIPS技术来防止未知威胁的江民也有不错的表现。看来对付未知威胁,行为杀毒技术是越来越重要了。
至于专杀工具,在这次试验中,几次对感染熊猫烧香病毒的系统恢复试验。虽然大多可以很够清除干净熊猫烧香病毒并恢复被感染的文件,但是还是有少量软件在清 除病毒以后也无法恢复。瑞星就是其中最惨烈的一个例子,这一段时间在为一些朋友用各种专杀工具清除熊猫烧香病毒的过程中,发现一些专杀工具是无法彻底清除 的,同时还有少数软件被彻底破坏,无法运行,何况由于所有的GHOST备份文件都被删除,就是运气好能全部清除并恢复。也还是给用户造成了不小的损失。因 此虽然在感染了病毒以后用专杀工具是一个无奈的选择,但是如果能够在第一时间防止病毒入侵的话确实是能够真正彻底避免损失。