|
俗话说,没有金钢钻不揽磁器活。近期“磁碟机”病毒着着实实让杀毒厂商们揽了一件大大的磁器活,病毒能够十分轻松地关闭很多主流的杀毒软件,许许多多的用户中了该病毒后,因为所装的杀毒软件完全失效而损失惨重。
“磁碟机”也带来了许许多多的纷争,因为一些杀毒软件在“磁碟机”面前的无能,于是一些别人用心之人一次又一次地抛出了“杀毒软件无用论”,企图一棍子把杀毒软件全部打死。那么,在“磁碟机”面前,我们的杀毒软件就这样不堪一击吗?为了揭开杀毒软件防杀“磁碟机”病毒的内幕真象,笔者选择了国内瑞星、卡巴斯基、江民、金山这四款占据了90%以上市场份额的杀毒软件品牌,从他们在“磁碟机”面前的表现,来揭开隐藏在“磁碟机”幕后的种种是非争论,还消费者一个明明白白的事实真象。
首先,笔者通过一些反病毒论坛获得了“磁碟机”四个较新的样本,分别为:
|
Win32/Kdcyy.cn |
Win32/Kdcyy.cb |
Win32/Kdcyy.am |
Win32/Kdcyy.ah |
接着,笔者将所测试的电脑与外界完全物理隔离,并安装了虚拟机,通过在虚拟机中激活病毒样本来测试杀毒软件性能,每测试一款杀毒软件后,将该款杀毒软件完全卸载后再安装另一款杀毒软件。在测试之前,均已经将杀毒软件升级到最新版本。
测试杀毒软件版本:瑞星2008、卡巴斯基7.0、江民KV2008、金山2008
测试环境:
说明解释:
用“√”表示通过测试;
用“×”表示不通过测试。
本次测试主要针对以下三个通用方面进行测试。
第一项:测试计算机系统中毒后,是否能够正常安装杀毒软件
由于许多电脑用户是在中毒后才想起安装杀毒软件杀毒的,因此,中毒后杀毒软件能否正常安装是首要的前提,经过测试,瑞星在前两个病毒变种下能够安装,后两个病毒变种则不能安装,江民通过了前三个病毒变种的安装测试,而金山和卡巴斯基则全部落马。
|
病毒体
杀毒
软件 |
Win32/Kdcyy.aa |
Win32/Kdcyy.Gen |
Win32/Kdcyy.cb |
Win32/Kdcyy.cn |
|
瑞星2008 |
√ |
√ |
× |
× |
|
卡巴斯基7.0 |
|
|
|
|
|
KV2008 |
√ |
√ |
√ |
× |
|
金山毒霸2008 |
× |
× |
× |
× |
二、测试杀毒软件扫描发现此病毒样本数
本轮测试主要看看各杀毒软件对病毒的截获能力,经过测试,四款杀毒软件均能够扫描发现这四个病毒变种。
|
|
瑞星2008 |
卡巴斯基7.0 |
KV2008 |
金山2008 |
|
扫描病毒数 |
4个 |
4个 |
4个 |
4个 |
三、测试杀毒软件的带毒运行和自我保护能力
由于四款杀毒软件在主动防御和文件监视开启的情况下,因为病毒样本库已更新,均能够发现和拦截病毒,因此,本轮主要测试杀毒软件在中毒情况下的运行和清除病毒能力,以及杀毒软件的自我保护能力。在关闭杀毒软件的文件监控和主动防御的情况下,运行病毒样本,使之感染整个系统,并重启系统若干次,然后进行如下测试:
检测杀毒软件是否可以正常启动主程序,是否可以正常启动监控,启动之后杀毒软件窗口是否处于正常状态和进程是否处于活动状态。如果杀毒软件全部或部分杀毒模块可以正常工作,尝试用他们进行病毒查杀,看是否可以清除,清除之后重启若干次,检测病毒体是否依然存在,清除病毒之后重启是否可以正常进入系统。
|
杀毒软件 |
病毒体
测试
对比项目 |
Win32/Kdcyy.aa |
Win32/Kdcyy.Gen |
Win32/Kdcyy.cb |
Win32/Kdcyy.cn |
|
卡巴斯基7.0 |
开机是否正常启动主程序 |
× |
× |
× |
× |
|
开机是否正常启动监控 |
× |
× |
× |
× |
|
杀毒软件窗口是否正常 |
× |
× |
× |
× |
|
进程是否活动 |
× |
× |
× |
× |
|
能否正常杀毒 |
× |
× |
× |
× |
|
检查病毒体是否清除彻底 |
× |
× |
× |
× |
|
重启后能否正常进入系统 |
× |
× |
× |
× |
|
瑞星2008 |
开机是否正常启动主程序 |
√ |
√ |
×(主程序打开窗口显示灰色) |
×(主程序打开窗口显示灰色) |
|
开机是否正常启动监控 |
×(文件监控不能开启) |
×(设置了开机启动监控,但监控不能开机启动。手动可以开启) |
×(设置了开机启动监控,但监控不能开机启动。虽然,手动可以开启,但是还是被关闭。 |
×(设置了开机启动监控,但监控不能开机启动。手动可以开启) |
|
杀毒软件窗口是否正常 |
× |
√ |
× |
× |
|
进程是否活动 |
√ |
√ |
×(部分进程不能正常运行) |
×(部分进程不能正常运行) |
|
能否正常杀毒 |
√ |
√ |
× |
× |
|
检查病毒体是否清除彻底 |
√ |
√ |
×(检查病毒,弹出杀毒界面窗口。杀毒界面窗口不能正常运行,必须重新启动) |
×(检查病毒,弹出杀毒界面窗口。杀毒界面窗口不能正常运行,必须重新启动 |
|
重启后能否正常进入系统 |
√ |
√ |
√(可以进入系统,但不能工作。) |
√(可以进入系统,但不能工作。) |
|
K
V
2
0
0
8 |
开机是否正常启动主程序 |
√ |
√ |
√ |
√ |
|
开机是否正常启动监控 |
√ |
√ |
√ |
×(设置了开机启动监控,但监控不能开机启动。手动可以开启) |
|
杀毒软件窗口是否正常 |
√ |
√ |
√ |
√ |
|
进程是否活动 |
√ |
√ |
√ |
√ |
|
能否正常杀毒 |
√ |
√ |
×(查毒后,处理病毒扫描时,自动关机重启。) |
×(查毒后,处理病毒扫描时,自动关机重启。) |
|
检查病毒体是否清除彻底 |
√ |
√ |
√ |
√ |
|
重启后能否正常进入系统 |
√ |
√ |
√ |
√ |
|
金山毒霸2008 |
开机是否正常启动主程序 |
×(主程序打开窗口,显示部分活动菜单。但是,不能应用。) |
×(重新启动计算机后,系统没有任何反应。) |
×(主程序打开窗口,显示部分活动菜单。但是,不能应用。) |
×(主程序打开窗口,显示部分活动菜单。但是,不能应用。) |
|
开机是否正常启动监控 |
×(设置了开机启动监控,但监控不能开机启动。) |
× |
×(设置了开机启动监控,但监控不能开机启动。) |
×(设置了开机启动监控,但监控不能开机启动。) |
|
杀毒软件窗口是否正常 |
× |
× |
× |
× |
|
进程是否活动 |
√ |
× |
√ |
√ |
|
能否正常杀毒 |
× |
× |
× |
× |
|
检查病毒体是否清除彻底 |
× |
× |
× |
× |
|
重启后能否正常进入系统 |
√(可以进入系统,但不能工作。) |
√(可以进入系统,但不能工作。) |
√(可以进入系统,但不能工作。) |
√(可以进入系统,但不能工作。) |
经过测试:
卡巴斯基7.0将监控暂停保护后,运行病毒样本,病毒可以直接将卡巴斯基7.0的监控直接关闭。重新启动系统后,卡巴斯基不能进行任何测试操作。因此各样测试均无结果。
瑞星2008:在前两个病毒样本中毒状态下主程序能够正常打开,后两个病毒则主程序打开窗口被病毒屏蔽显示为灰色;中毒状态下瑞星2008监控均不能正常自动开启,后三种病毒可以手工开启监控;杀毒窗口在第二种病毒变种下正常,其它均不正常,进程活动情况在前两种病毒下正常活动,在后两种病毒下部分进程不能运行;瑞星在前两种病毒情况下能够正常杀毒,后两种病毒情况下不能正常杀毒;瑞星2008在前两种病毒下能够彻底清除病毒体,而后两种病毒则不能彻底清除,查杀后杀毒界面窗口不能正常运行,必须重新启动。
瑞星2008在查杀四种病毒后均可以进入系统,但后两种病毒在进入系统后杀毒软件不能正常工作。
江民KV2008:江民KV2008除了在查杀后两种病毒时,发现扫描病毒时系统自动关机重启现象,以及在第4种病毒测试时监测需要手工打开之外,其它项目全部通过测试。
金山毒霸2008:在四种病毒中毒测试中,除了在1、3、4种病毒下,金山2008进程尚可活动外,其它测试项目几乎全军覆没,在中毒状态下,金山开机无法运行,无法打开监控,也无法正常杀毒,在杀毒后可以重启进入电脑,但杀毒软件无法正常工作。
|
