卡巴斯基VS大蜘蛛，不得不说的遗憾

福尔马林

今天在公司拿同事的移动硬盘往自己电脑上考文件，插上USB之后先用卡巴扫描，没有问题，不放心，又用绿色版大蜘蛛扫，结果赫然扫出几匹马。
偶装的是麦版20070704刚刚汉化的卡吧7.0.125，病毒库更新到最新，开高启发。
难道卡巴杀马的能力还不如大蜘蛛？

各位老大有何见解？

The EQs

不说什么了。。。。系统还原里面的东西。。关了就OK了

KAV-Longhorn

一个木马能说明什么?

曲中求

关键不是看别的杀软报什么，而是你的机器有没有问题？你的账号密码是否被盗。sre检查是否有问题。

如果机器什么问题都没有，账号密码从被盗走，sre查检一切都正常，那么就没有什么问题。

并非为卡巴说什么，而是觉得很多朋友的这种安全观的标准，是定位在监控杀软以外的其它工具上。不得不说，这是一种手段和参考，但是绝对不是一种perfect标准。

P.S系统还原还是关了为好，呵呵！

[ 本帖最后由 曲中求 于 2007-7-5 18:43 编辑 ]

pluto1313

不要以个别病毒能否查杀去判断一个杀软的好坏，那是非常非常....片面的事情。
还有“难道卡巴杀马的能力还不如大蜘蛛”此话存在严重的问题，Dr.web不是吃素的，它的技术实力国际上有几家可以与他相抗衡，更别说比它好

system restore目录，卡巴默认扫描吗？

kesong163

系统还原里的东西哦~关掉吧

feyqw

用过大蜘蛛  遇到事情太卡了

jpzy

有一个根目录下的setup.exe！卡巴漏过了？
貌似最近很多人反映，卡巴扫描的时候，遇到隐藏文件，尤其是设置成系统文件属性的隐藏文件，往往都会漏过，除非选择了显示所有文件，卡巴才能发现病毒！未知真假！谁验证一下！

ALEXBLAIR

个例不能包全
从图片上看,蜘蛛找出的是downloader木马,这类木马的特点就是下载东西到你的电脑,但是本身没有攻击性质.
所以,能不能防止被下载的东西才是关键,
木马用到了系统还原的目录,属于system权限定位,所以,卡巴默认不主动扫描,而是监控r/w动作才查,这也是为了提高效率的折中做法.
当然,启发的蜘蛛的确不错,样本区的表现也很好.但是,启发就一定是木马?在样本区表现一流的红伞不是也启发的正常文件四面楚歌么?
当然,你可以换蜘蛛试试看,如果觉得蜘蛛卡,可以用驱逐舰
不过,还是要提醒所有用样本评价软件人们:样本库只是一个参考,过了样本还有主动防御,加个花指令过了主动防御还有防火墙,过了防火墙还有autorun权限(这个要自己设置.)
过了这里,总要启动巴,启动项的注入还是过不了注册表监控.
能全过每一关的不多.防范是立体的,不是单个的.