iT邦幫忙

12

防毒軟體名氣迷思之病毒樣本實測

排名高=防毒率高?
環境:VirusTotal

樣本獲取途徑:
在一台安裝江民防毒試用版已於98/02/26到期無法升級且已中毒的主機中使用WinRAR當成檔案總管查看各磁碟分區根目錄及system32資料夾,把可疑的檔案加入江民樣本庫並掃描樣本庫確認無漏取,並把37支樣本用WinRAR抓入隨身碟抓回自己電腦,其中33支被檔案監控偵測刪除,幸好是在自己的電腦,在備份區找回同系列4支共8支!

樣本送往VirusTotal進行偵測,結果如下圖

檢測結果詳情

kacsde.exe http://www.virustotal.com/zh-tw/analisis/dcb7a2b80acb4e7a7af52782d8805733

uret463.exe http://www.virustotal.com/zh-tw/analisis/939c3dcec6136978e6af58aa994d4136

godert0.dll http://www.virustotal.com/zh-tw/analisis/9d52e8d3144c8a6b57397faf657ff0f8

godert1.dll [http://www.virustotal.com/zh-tw/analisis/43a53dc13e3a604a1e59bfb69e94d749
](http://www.virustotal.com/zh-tw/analisis/43a53dc13e3a604a1e59bfb69e94d749<br />
)
lhgjyit0.dll http://www.virustotal.com/zh-tw/analisis/2c711c0d89aec4cabd102d250a873a8b

lhgjyit1.dll http://www.virustotal.com/zh-tw/analisis/0eb66f67f4d80e18034f51f557d7a577

hqx292nu.exe http://www.virustotal.com/zh-tw/analisis/8931c6e66773a0d701643a94d1c72a12

om0.com http://www.virustotal.com/zh-tw/analisis/6b6ff74ed5a6d16b2768dcf21fa7e8b6

由上圖可知,偵測率的高低其實跟名氣沒有太大關係,反而少人討論的microsoft跟McAfee-GW-Edition(圖中無)偵測率最高(這2個是啥麼東西??),而symentec跟AVG這2個不知道什麼版本的暫居第2,或許對版本號有研究的大大能告知以上4種防毒各是什麼版本~

但如果把江民刪掉的29支也放進去的話,情況也會相同嗎?我倒是不會這樣認為~

其實平常有在收集病毒的人看到這些檔案名稱,應該會知道這些病毒屬於kacsde.exe系列的第2變種跟第3變種,原生種kacsde.exe大約在今年2月中旬被我第一次抓到,lhgjyit1.dll 跟lhgjyit0.dll 應該是第2變種(跟第一次出現時同名)、godert0.dll 跟 godert1.dll則是第3變種的產物,這4支存在於system32底下,其中各一支必須進入安全模式才能加以刪除!這也是部分防毒總是刪除又掃到的最常見原因,而線上掃毒對這類必須重啟刪除的病毒也幾乎沒轍~

今天這8支隨身碟病毒對個人來說並沒甚麼大不了,因為我習慣使用江民去手動找毒殺毒,就算病毒本體藏在其他資料夾,例如C:\Documents and Settings\Administrator\Local Settings\Temp或C:\WINDOWS\Help,藉由樣本庫比對,江民還是能把他找出來,甚至不用更新病毒碼就能刪除,更新病毒碼的最大用意是找出其他夾藏的木馬,但以前使用別套防毒的經驗是遇到這類掃不到或一直再生的變種病毒,可能就必須重複安裝移除幾套防毒才能真正清除了~


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
liqunyan
iT邦好手 3 級 ‧ 2009-04-03 09:56:55

我個人用Comodo Internet Security,這軟體只有英文版,但很大方,防毒+防火牆都可以免費讓使用者用(比大多軟體還大方),而且其防火牆算是相當夠力。
我用這攔阻了很多知名防毒軟體攔不住的木馬(春風吹又生)。
http://personalfirewall.comodo.com/
目前其防毒沒有被評測,有些人認定它的防毒不怎麼樣……So what?我用起來就是好用。
僅供各位參考囉。

ataru iT邦研究生 1 級 ‧ 2009-04-03 09:59:04 檢舉

它的防毒真的是不如何
但是防火牆+HIPS是不錯
它快出中文版了,已經在全球找許多志願者幫忙翻譯
到時候多國語言版就會正式支援中文
不過台灣的志願者看起來像是在等大陸翻好再來偷懶盜用…

charon12 iT邦新手 4 級 ‧ 2009-04-04 11:13:19 檢舉

關於Comodo,最近遇到兩個問題,我認為都是誤判
1.realtek的音效driver ,被視為木馬,接著移除,然後就要重新安裝音效driver了。
2.在windows資料夾裡的一個dll檔也被視為木馬,移除之後,一重開機...
unknown hard error...
這是在XP剛重灌好,driver 剛裝好的時候。

liqunyan iT邦好手 3 級 ‧ 2009-04-04 12:18:23 檢舉

原來如此,已經快出中文版了。
我是偶有碰到誤判,就讓他丟到My Own Safe或是Exclusion區。
個人是覺得反正,有堪用就好,他的功能不算太離譜即可。

0
ataru
iT邦研究生 1 級 ‧ 2009-04-03 09:57:51

坦白說,重複安裝移除幾套防毒,是多少使用者真正會採取的措施?!那不是太有空閒就是專業玩防毒的人才會這樣作罷?!

真正用電腦的人,忙著賺錢都來不及,哪有時間管那麼多防毒該用哪一套?!而且很多所謂公正測試單位,迫於現實,都有接受商業妥協的情況,看看就好,不要想太多。買套自己覺得好用的,反正沒有一套不會被破,就…養成良好使用習慣最重要

3uag iT邦新手 5 級 ‧ 2009-04-12 20:28:17 檢舉

使用平時最常用的就夠了

0

提到江民防毒好幾次、數據中卻沒有江民好可惜?!

jolan iT邦新手 4 級 ‧ 2009-04-04 01:00:14 檢舉

因為virudtotal沒有江民啊~
不過數字有說話,只掃到4支~

0
glennlin
iT邦研究生 4 級 ‧ 2009-04-03 11:09:06

這個不準的

virustotal它們線上的掃毒碼與程式是由各家廠商自行提供的
有時候版本還是超級無敵舊且沒更新的版本,所以基本上誤差頗大
還不包含各家廠商自家的不同軟體版本區別

像是你測試的幾個小有名氣的隨身碟病毒,你自己檢視一下吧
說是avg、nod32都測不到,這個就已經有點問題了
另外像閃電牌的就更扯~半隻知名的都掃不到
我想光是這三點疑點,就能推翻你的實驗疑問了吧

jolan iT邦新手 4 級 ‧ 2009-04-04 01:11:11 檢舉

連結中都有各防毒所提供的版本號,例如AVAST4.8、卡巴7.0等,如果自己使用中的防毒不是版本,可以考慮不用參考此篇~
給連結只是證明是實際上傳測試,而非像其他測試文,隨便掰個版號給個數據就說某某套強好多了吧?
AVG掃到7隻啊~你看錯了吧??
另外,這有什麼好推翻的呢?難道你認為是該相信排名嗎?

jolan iT邦新手 4 級 ‧ 2009-04-04 01:29:56 檢舉

對了,給的連結都看得到版本號跟上傳時間,也有各家掃描結果,掃不到就是掃不到,怎麼說得很像是我做假呢?

glennlin iT邦研究生 4 級 ‧ 2009-04-06 18:52:00 檢舉

並沒有說你做假啊
該網站只是"提供多種掃描與參考"而已
正確真正要判斷的話,你還是要實際安裝該軟體與不同版本去做判定才是最準確的

就po個人家真的也能掃到,但是該網站就是沒列出來(2008年12月就有)
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_FRETHOG.FX&VSect=Td
我相信一定還有其他產品也有類似的情況吧!

至於你所強調的排名與掃毒率之爭?
it界的人大多很清楚,排名與掃毒率都只是像徵而已
甚至都有那種某家是不自己花錢叫人寫了特種病毒,然後他們自家掃的又快又準的傳聞

it人就是要實事求是,凡事要完整一點的證據才能分享打動別人
po上你的排名來源網站
po上你的防毒率高低網站
不然我也不大可能只為了這幾隻usb病毒抓得到,就讓我去相信kitty防毒軟體"粉強汗"

ps:avg我是看錯了

0
yesyesok
iT邦研究生 4 級 ‧ 2009-04-03 16:52:48

這個數據可以對於不熟悉的人可以當作參考
基本上各有所好~問四周的同學大家似乎只關心哪一個是免費
防毒功能多好好像都沒什麼人在討論= =

0
Ruei
iT邦研究生 1 級 ‧ 2009-04-26 02:15:39

我用 Avast 很久了,因為免費又有中文界面,不過最近不知道更新了什麼東西,狂掃我記憶體 囧

我要留言

立即登入留言