»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
反病毒
» [转贴]木马测试~ 微点只能杀三个
作者:
标题: [转贴]木马测试~ 微点只能杀三个
乐叔
新手上路
积分 4
发帖 4
注册 2007-5-8
#1
[转贴]木马测试~ 微点只能杀三个
测试样本:网上下的一个所谓木马测试包(压缩包),是供测试瑞星的杀马能力的
本人防毒软件:360+nod32+AVG Anti-Spayare(原ewido网络公认的木马克星)其中nod32和AVG的监控是打开的
过程:迅雷开始下载病毒样本,下载道23%迅雷提示下载包不安全并检测出一个木马。
到下载完成,AVG和NOD32的监控均没有监控出来。
1.直接扫描压缩包:
nod32:扫描进行于:2007-7-18 12:43:04
扫描日志
NOD32版本 2404 (20070717) NT
命令行: F:\114100-1178727529970.rar
日期: 18.7.2007 时间:12:43:06
已开启反隐藏功能.
已扫描的磁盘,文件夹及文件:F:\114100-1178727529970.rar
F:\114100-1178727529970.rar >>RAR >>病毒样本\ck3.exe.exe - 可能是 Win32/Spy.Delf.PG 木马 的一个变种
F:\114100-1178727529970.rar >>RAR >>病毒样本\IEXPLORE.Dat - 可能是 Win32/Spy.Delf.PG 木马 的一个变种
F:\114100-1178727529970.rar >>RAR >>病毒样本\IEXPLORE.Sys - 可能是 Win32/Spy.Delf.PG 木马 的一个变种
F:\114100-1178727529970.rar >>RAR >>病毒样本\ldmedia4.dll - Win32/PSW.Maran 木马
F:\114100-1178727529970.rar >>RAR >>病毒样本\lsass.exe - 可能是 Win32/PSW.Maran 木马 的一个变种
已扫描的文件数目:13
已发现的病毒数目:5
完成时间: 12:43:07 总扫描时间:1 秒 (00:00:01)
AVG:---------------------------------------------------------
AVG Anti-Spyware - 扫描报告
---------------------------------------------------------
+ 创建时间: 12:45:32 2007-7-18
+ 扫描结果:
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\IEXPLORE.Dat -> Logger.Delf.pg : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\IEXPLORE.Sys -> Logger.Delf.pg : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\IEXPLORE.win -> Logger.Delf.pg : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\ck3.exe.exe -> Logger.Delf.pg : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\lsass.exe -> Trojan.Maran : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\soundmid3.dll -> Trojan.Maran.bo : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\ldmedia4.dll -> Trojan.Maran.cs : 已清除.
F:\114100-1178727529970.rar/²¡¶¾Ñù±¾\c8.exe.exe -> Trojan.QQPass : 已清除.
::报告结束
360无法扫描压缩包
解压后:
nod32监控开始提示有病毒
时间 模块 对象 名称 病毒 操作 用户名称 信息
2007-7-18 12:48:01 AMON 文件 F:\病毒样本\lsass.exe 可能是 Win32/PSW.Maran 木马 的一个变种 已隔离 - 已删除 程序新建文件时发生事件: C:\Program Files\WinRAR\WinRAR.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-7-18 12:48:00 AMON 文件 F:\病毒样本\ldmedia4.dll Win32/PSW.Maran 木马 已隔离 - 已删除 程序新建文件时发生事件: C:\Program Files\WinRAR\WinRAR.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-7-18 12:47:59 AMON 文件 F:\病毒样本\IEXPLORE.Sys 可能是 Win32/Spy.Delf.PG 木马 的一个变种 已隔离 - 已删除 程序新建文件时发生事件: C:\Program Files\WinRAR\WinRAR.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-7-18 12:47:58 AMON 文件 F:\病毒样本\IEXPLORE.Dat 可能是 Win32/Spy.Delf.PG 木马 的一个变种 已隔离 - 已删除 程序新建文件时发生事件: C:\Program Files\WinRAR\WinRAR.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-7-18 12:47:55 AMON 文件 F:\病毒样本\ck3.exe.exe 可能是 Win32/Spy.Delf.PG 木马 的一个变种 已隔离 - 已删除 程序新建文件时发生事件: C:\Program Files\WinRAR\WinRAR.exe. 文件已被移入隔离区。您可以关闭本窗口。
还是5个病毒,然后执行手动扫描解压完的文件夹提示没有病毒如下:
扫描进行于:2007-7-18 13:15:03
扫描日志
NOD32版本 2404 (20070717) NT
命令行: F:\病毒样本
日期: 18.7.2007 时间:13:15:05
已开启反隐藏功能.
已扫描的磁盘,文件夹及文件:F:\病毒样本\
已扫描的文件数目:6
已发现的病毒数目:0
完成时间: 13:15:05 总扫描时间:0 秒 (00:00:00)
下一步再用AVG扫面nod32扫描完的文件夹,结果如下:
--------------------------------------------------------
AVG Anti-Spyware - 扫描报告
---------------------------------------------------------
+ 创建时间: 13:17:32 2007-7-18
+ 扫描结果:
F:\病毒样本\IEXPLORE.win -> Logger.Delf.pg : 已清除并备份(已隔离).
F:\病毒样本\soundmid3.dll -> Trojan.Maran.bo : 已清除并备份(已隔离).
F:\病毒样本\c8.exe.exe -> Trojan.QQPass : 已清除并备份(已隔离).
::报告结束
用360扫描nod32扫描完的文件夹(病毒样本)结果如下:
奇虎360安全卫士木马查杀历史报告
木马名称:PSWTroj/Win32.Maran.bo
路径:F:\病毒样本\soundmid3.dll
查杀时间 :2007-07-18 13:20
木马名称:Trojan/Win32.Delf.pg
路径:F:\病毒样本\c8.exe.exe
查杀时间 :2007-07-18 13:20
总结:本次病毒样本的木马数量实际是9个,而且是 2007-05-06发布的。
nod32查杀数量:5个 其中1个已知病毒4个未知病毒并且提示提交以作进一步分析。
AVG查杀数量:8个 8个全为已知病毒
遗憾:nod32对如今木马横行的互联网来说敏感度不够。由报告可以看出nod真正由病毒库查杀出来的木马只有一个,这说明一个问题,病毒库特征码太少,目前的杀毒软件都是主要依靠特征码。
优点:nod32的启发式杀毒再次显现出优势,从以上结果可以看出它利用未知病毒探测技术共截获4个未知病毒,这一点很厉害。
由于本人就一台电脑无法测试瑞星,卡巴斯基的结果,考完试后再来测试,请继续关注,也希望我的测试会对nod32有所作用。
2007-7-19卡巴斯基7.0.0.125测试 结果如下:
1.监控打开下载附件如下图1
2.下完后手动扫描结果如下图2
3.卡巴7.0版本如下图3
瑞星的结果请看32楼的
总结:卡巴监控打开只要下载它会一直提示下载的东西有危险,得不停的选择允许才能下载完。
下载完后手动扫描结果与AVG一样都是八个,注意我这里用的是AVG的anti-spyware(即ewido)而不是AVG的杀毒软件(杀毒太差)哦,呵呵,可能会说ewido误杀厉害,呵呵你可知道ewido官方是不在中国发行的,所以对中国本地一些软件的误杀可以理解,但是要看到即使他不在中国发行,测试包的木马它也能查杀中国本地的8个木马,真是奖杯不如网友的口碑--厉害!不亏是杀木马的老大。
希望nod32能重视本地木马,要不再来个猫就。。。。。
关于误杀问题卡巴斯基也有,只是他的反恶意软件有时会提示,提示时注意看一下就可以了,不要一味的拒绝。但是都不是大问题,好像都没有像今年诺顿那么厉害,呵呵
关于瑞星我的研究不多,中国的老大了,最近进入世界前十了(第十名),呵呵,值得骄傲,正如瑞星工程师所说-如果拿中国本地病毒测试瑞星世界至少排名第三,从这里我们可以看出不是没道理的。熊猫爆发时他跟卡巴打口水战各自说自己的杀软在熊猫爆发时可以识别未知病毒并清除,但一方是真一方是假,这里我就不评论了,有兴趣的可以测试一下熊猫病毒,但是不要用今年的病毒库用去年旧的(这样可避免特征码的查杀,看看在没有特征码下到底谁更胜一筹)
[
Last edited by 乐叔 on 2007-7-20 at 00:14
]
※ ※ ※ 本文纯属【乐叔】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-20 00:08
cangqiong
新手上路
积分 15
发帖 15
注册 2007-7-20
#2
不知道楼主想说什么, 没看到包包,也没看到微点截图.
※ ※ ※ 本文纯属【cangqiong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-20 03:35
ljl80799
新手上路
积分 29
发帖 29
注册 2007-7-12
#3
过程:迅雷开始下载病毒样本,下载道23%迅雷提示下载包不安全并检测出一个木马。
你的迅雷还能检出木马,我也喜欢迅雷但怕病毒,停用一阵了,你的迅雷是在哪儿下的?
※ ※ ※ 本文纯属【ljl80799】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-20 07:55
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#4
请楼主协助我们将您的样本包发送到
virus@micropoint.com.cn
我们具体分析一下
感谢您的详细测试与反馈
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2007-7-20 08:07
乐叔
新手上路
积分 4
发帖 4
注册 2007-5-8
#5
邮件发现病毒,传不了,
测试地址
点击进去
[
Last edited by 乐叔 on 2007-7-20 at 10:48
]
※ ※ ※ 本文纯属【乐叔】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-20 10:46
qqq111qqq111
新手上路
积分 7
发帖 7
注册 2007-5-1
#6
病毒:8 文件:13
----------
[凝逸反毒] (
http://hi.baidu.com/503165656)
[凝逸.扫描病毒引擎-日志] 2007.7.20 10:52:30
文件:F:\070720\114100-1178727529970\病毒样本\c8.exe.exe | 感染:Trojan.PWS.Wsgame [7556>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\ck3.exe.exe | 感染:Trojan.PWS.Wsgame [7555>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\IEXPLORE.Dat | 感染:Trojan.PWS.Gamania [786>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\IEXPLORE.Sys | 感染:Trojan.PWS.Gamania [787>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\IEXPLORE.win | 感染:Trojan.PWS.Gamania [784>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\ldmedia4.dll | 感染:Trojan.PWS.Maran [836>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\lsass.exe | 感染:Trojan.PWS.Maran [788>20070613_a84cd4.axx]3(1.1)
操作:删除文件
文件:F:\070720\114100-1178727529970\病毒样本\soundmid3.dll | 感染:Trojan.PWS.Gamania [785>20070613_a84cd4.axx]3(1.1)
操作:删除文件
扫描完成|病毒:8 文件:13|耗时:5248
----------
※ ※ ※ 本文纯属【qqq111qqq111】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-20 10:53
408983504
银牌会员
此用户已被禁言
积分 1271
发帖 1238
注册 2007-1-6
来自 广东
#7
看一看
只是
路过!
※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
三用户版续费真TM的便宜啊!
2007-7-20 15:14
qq2008444
银牌会员
职业潜水艇
积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#8
卡巴6.0.1.411
已检测到: 木马程序 Trojan-Spy.Win32.Delf.pg 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\c8.exe.exe//UPX
已检测到: 木马程序 Trojan-Spy.Win32.Delf.pg 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\ck3.exe.exe//UPX
已检测到: 木马程序 Trojan-Spy.Win32.Delf.pg 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\IEXPLORE.Dat
已检测到: 木马程序 Trojan-Spy.Win32.Delf.pg 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\IEXPLORE.Sys
已检测到: 木马程序 Trojan-Spy.Win32.Delf.pg 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\IEXPLORE.win
已检测到: 木马程序 Trojan-PSW.Win32.Maran.dk 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\ldmedia4.dll
已检测到: 木马程序 Trojan-PSW.Win32.Maran.ct 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\lsass.exe
已检测到: 木马程序 Trojan-PSW.Win32.Maran.bo 文件: C:\Documents and Settings\Administrator\桌面\114100-1178727529970.rar/病毒样本\soundmid3.dll
※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-7-20 15:43
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号
