查看: 2178|回复: 29
收起左侧

[分享] 【测评】XP下国内杀软+大蜘蛛av+费尔断网安装不更新对抗比特币勒索病毒测试

  [复制链接]
ikochina
发表于 5 天前 | 显示全部楼层 |阅读模式
本帖最后由 ikochina 于 2017-5-20 10:52 编辑

对xp进行测试一:样本:样本采用@tg123321测试中的比特币勒索病毒:样本1为5月12日样本:http://bbs.kafan.cn/thread-2088953-1-1.html
样本2为5月18日样本,样本2有两个文件,一个是修改开机启动项,一个安装文件,安装后才启动,从虚拟机模拟情况来看,安装后系统迅速蓝屏并进入磁盘修复模式,修复后不管怎么重启都进入勒索页面,点击要求输入key,而无法再次进入系统:
http://bbs.kafan.cn/thread-2089907-1-1.html
共2个样本
二、系统说明:
系统在vm虚拟机下进行,测试完一款软件后恢复快照再次测试下一款软件
xp:遐想论坛【2016.9.29更新】GHOST XP SP3 X32遐想网络 纯净驱动版 V16.9
采用纯净驱动版是因为除开驱动外没装任何软件,虚拟系统环境为4g内存,60g硬盘,开启网络
三、杀软:百度卫士和百度杀毒已不更新,就不测试了
1、360卫士离线救灾版11.2.0.2023
2、360杀毒增强安装版5.0.0.8023
3、360杀毒国际版8.8.0.1033
4、2345安全卫士增强版2.12
5、电脑管家12.5.18754.212
6、瑞星2017 24.17.01.55
7、金山毒霸11 170516离线包
8、金山毒霸论坛开放版4.8(5月18日更新包)
9、火绒4.0.22.1包含扩展工具完整版
10、江民速智16.0.13.301
11、费尔8.17
12、微点主防170515.2.0.20266.0146
13、微点杀毒170515.1.2.10582.0282版
14、大蜘蛛11av版(我们来看看大蜘蛛怎么样,和国产有无差距)
全家会.png
四、测试样张(xp系统)
(一)360卫士离线救灾版11.4.0.1002
安装1.jpg
先不安装这些漏洞补丁
安装2广告.jpg
强大的广告啊,才装完就给我来一发
安装3.jpg
开启勒索保护
安装4.jpg
更新到最新版本
安装5引擎全开.jpg
开启所有引擎并自动更新到最新病毒库
样本1扫描.jpg
样本1扫描未报毒,文件被加密了的,不过不报问题也不大
样本1正常解压.jpg
解压没报就不正常了,文件成功解压
样本1双击.jpg
样本1双击,成功拦截
样本1未被加密-成功拦截.jpg
样本1成功拦截,文件未被加密
样本2扫描.jpg
样本2扫描仍然不报
样本2正常解压.jpg
样本2解压也没报
样本2双击.jpg
样本2的两个文件双击报毒和可疑修改启动项
样本2成功拦截.jpg
成功拦截,未加密
样本2-1成功拦截母体未删除.jpg
样本2中修改启动项的木马文件未被删除(因为只是报的可疑),也不能手动删除
样本2粉碎机成功删除.jpg
用360文件粉碎机成功删除
总结:360救灾版基本完成拦截任务,但在解压的时候不报毒还是有点提心吊胆的。
(二)360杀毒增强版5.0.0.8023版 版本最新.jpg
升级到最新版本,全引擎开启
解压删除了样本1和2-2.jpg
解压删除了样本1和2-2,接下来恢复不添加白名单
恢复的样本1被杀样本2-2报毒被杀.jpg
双击是同样的命运,样本1和2-2被杀
样本2-1报毒.jpg
2-1双击报可疑被阻止,未删掉母体
样本2-1无法删除,提示用粉碎机.jpg
手动删除不了,提示用粉碎机粉碎
粉碎机成功删除.jpg
成功删除
未加密.jpg
文件未加密
总结:比360卫士成绩要好,至少在解压的时候就发现并删除了
(三)360杀毒国际版8.8.0.1033版
默认安装
安装1.jpg
2更新到最新.jpg
更新到最新版,bd病毒库有点老啊,还是4月的
3扫描不报.jpg
扫描不报毒
4样本1解压报毒.jpg
解压样本1报毒
5样本2-2解压报毒.jpg
解压样本2-2报毒
7双击样本1报毒.jpg
双击样本1报毒
8双击样本2-2报毒.jpg
双击样本2-2报毒
6双击样本2-1报毒.jpg
双击样本2-1报毒
9删除不了,无提示.jpg
删除不了,无提示,当然了国际版没有粉碎机模块
未加密.jpg
文件未被加密
总结:和360增强版差不多的表现,不过在测试的时候,时间延迟比增强版严重2-3秒,特别是解压到文件夹的时候,另外还有广告和没有粉碎机模块,所以建议国内朋友就用国内版,没必要用国际版,bd病毒库更新也太慢了,差距一个月啊
(四)2345安全卫士增强版2.12版
1主程序最新.jpg
主程序最新
2小红伞最新.jpg
小红伞最新,看到5月19的病毒库还窃喜了一把
3扫描不报.jpg
扫描不报
4正常解压.jpg
解压正常,双击的时候手都开始发抖啊
5样本1正常运行无提示.jpg
运行样本1成功,在截图的时候终于弹出窗口删掉了部分病毒,但
7强大的熟悉界面啊.jpg
全部文件被加密,样本文件夹被删除,强大的界面啊,还有个报错,不知是虚拟机原因还是2345删掉的部分病毒原因
恢复快照继续测样本2,样本2先测2-1
9样本2-1正常运行无提示.jpg
样本2-1正常运行
9样本2-2正常运行无提示.jpg
样本2-2正常运行安装
9样本2-2安装完运行造成蓝屏.jpg
安装样本2-2后运行造成虚拟机蓝屏自动进入磁盘修复界面(速度有点快,蓝屏没截到图)继续跟进,看能否修复进入系统
10恢复后界面.jpg
15分钟后跳出这个界面了,重启也不能进入系统
11勒索页面.jpg
点击页面要求输入花钱买来的解密key
小结:看来2345真是来打酱油的,这个勒索页面感觉比样本1的更强大啊
(五)电脑管家12.5.18754.212版
1主程序最新.jpg
主程序最新,开启bd引擎
2开启bd.jpg
开启bd
3扫描正常.jpg
扫描正常
4解压清楚1.jpg
5解压清楚2.jpg
解压清除3.jpg
解压全部清除,恢复后仍然被清除了
6.jpg
文件未加密,满分通过啊
(六)瑞星2017 24.17.01.55
1安装.jpg
最新版本,因瑞星是实时更新,所以没有病毒库更新入口
2扫描五毒.jpg
扫描无毒
3样本1解压.jpg
4样本2解压.jpg
解压均报毒
5双击样本1.jpg
双击样本1报毒
6双击样本2-1.jpg
双击样本2-1报毒
7双击样本2-2.jpg
双击样本2-2正常安装
8样本2-2运行.jpg
运行样本2-2错误,母体未删除
9未加密.jpg
文件未加密
小结:防御还可疑,但能看得出来过分依赖于网络,在双击运行时效果略差
(七)金山毒霸11 170516版
安装界面不错,软件主界面也漂亮,就是广告太多影响视觉啊
1开启kvm.jpg
开启kvm
5更新.jpg
更新
3好多广告.jpg
好多广告
2扫描无毒.jpg
扫描无毒
4正常解压.jpg
正常解压
6样本1双击.jpg
样本1成功拦截
7样本2-1双击.jpg
样本2-1成功拦截,但这个记事本还是打开了
8样本2-2双击安装.jpg
样本2-2成功安装
9样本2-2运行.jpg
样本2-2运行被拦截并自动进入快速扫描
10自动快速扫描.jpg
快速扫描结果,下面一个不是
11样本2母体手动删除.jpg
虽然没删除样本2两个母体,但手动删除很轻松
未加密.jpg
文件未加密
小结:从防御来说和其他杀软有差距啊,不过总算是有惊无险的防住了
(八)金山毒霸论坛开放版4.8
这个测试和普通版结果没任何区别,懒得传全部图了

4样本1.jpg
5样本2.jpg
6样本2-2运行.jpg

(九)火绒4.0.22.1包含扩展工具完整版
1更新.jpg
更新
2扫描.jpg
扫描没报
3解压.jpg
解压没报
5样本1.jpg
4样本2-1.jpg
样本2-2.jpg
双击全杀
6未加密.jpg
未加密
小结:在解压没报的时候,真的虚啊,不过后面拦截包括母体都很完美
(十)江民速智16.0.13.301
1更新.jpg
更新
2扫描.jpg
扫描无毒
3样本1.jpg
样本1解压报毒
4样本2成功解压.jpg
样本2成功解压
5样本2-1成功运行.jpg
样本2-1成功运行,修改启动项
6样本2-2安装到后面被杀.jpg
样本2-2安装到最后报毒
7样本2-2不能运行.jpg
样本2-2不能运行
未加密.jpg
文件未加密
小结:防住三分之二,修改启动项被无视了
(十一)费尔8.17版
1更新.jpg
更新,好慢啊,107兆
2扫描.jpg
扫描无视
3解压样本1.jpg
样本1解压
4解压样本2.jpg
样本2解压,2-2被杀
5运行2-1.jpg
样本2-1运行提示未知和非法注册表修改
6未加密.jpg
完美防御,未加密
小结:费尔虽然有点老了,但还是能防住,效果还算不错
(十二)微点主防170515.2.0.20266.0146版
1更新.jpg
更新
2扫描.jpg
扫描
3解压1.jpg
解压样本1
4解压2.jpg
解压样本2成功
5运行2-1.jpg
运行样本2-1成功,但在大约20秒后弹出拦截到木马
6安装2-2.jpg
样本2-2成功安装
7运行2-2.jpg
运行2-2被拦截
8未加密.jpg
文件未加密
小结:中途出现了遗漏,但最终还是拦截成功
(十三)微点杀毒170515.1.2.10582.0282版
1更新.jpg
更新
2扫描.jpg
扫描无反应
3解压.jpg
正常解压
4成功运行2-1.jpg
运行样本2-1成功,无任何提示
6文件被加密.jpg
样本1中招,文件被加密,样本文件夹被删除,重新开始测样本2-2
7安装2-2.jpg
成功安装
8运行2-2.jpg
成功运行,界面和2345一样
小结:这次微点杀毒垫底了啊,全程无任何提示,2345至少在中招的时候还提示并删除了部分病毒,哎,看来真的老了
(十四)大蜘蛛av版(8元版)
1更新.jpg
更新
2扫描.jpg
扫描
3解压.jpg
解压干掉1和2-1
4安装2-2.jpg
安装2-2无提示
5运行2-2.jpg
运行2-2拦截
6未加密.jpg
未加密
小结:有点小失落啊,效果并没想象中的好
总结

7.jpg
从前面可以看出,这次12号和18号的变种拦截最完美的是管家,其次火绒,再是360杀毒增强版等,2345和微点杀毒垫底了

在断网不更新的情况下,再次测了费尔8.17的表现见http://bbs.kafan.cn/thread-2090168-1-1.html

评分

参与人数 3经验 +20 人气 +3 收起 理由
屁颠屁颠 + 20 + 1 鼓励测试
houtiancheng + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )

查看全部评分

mmppp9898
发表于 5 天前 | 显示全部楼层
同类测试早已遍地是,而且你测试的日期那么晚,早就被各家拉黑入库了,请问测试意义何在?想说明什么?
252322131
发表于 5 天前 | 显示全部楼层
前排正坐观看
Llano_心情
发表于 5 天前 | 显示全部楼层
把半残的百度也带上吧,哎。对了瑞星新出了专门防御的“瑞星之剑”软件,和安天的安天智甲防勒索免费专版
dg1vg4
发表于 5 天前 | 显示全部楼层
本帖最后由 dg1vg4 于 2017-5-20 17:58 编辑

后排说明,瑞星没有2017这个说法,只有v17这个说法。
还有,瑞星刚出了一个防勒索程序,说能防未知勒索程序,不知道能不能做到。
http://www.rising.com.cn/j/
最后,v17有更新入口。
英雄小子
发表于 5 天前 | 显示全部楼层
dg1vg4 发表于 2017-5-19 15:57
后排说明,瑞星没有2017这个说法,只有v17这个说法。
还有,瑞星刚出了一个防勒索程序,说能防未知勒索程 ...

坐等大神测试结果
900703
发表于 5 天前 | 显示全部楼层
卡位卡好等後續 . @ikochina 有連接網路嗎?
幽冥の龙
发表于 5 天前 | 显示全部楼层
我在想火绒规则自己写个拦截文档修改的规则是不是可以 0.0
646282
发表于 5 天前 | 显示全部楼层
等半天了,还没结束么?
萧萧先生
发表于 5 天前 来自手机 | 显示全部楼层
怎么还没出结果?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-5-24 02:38 , Processed in 0.124574 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表