搜索
查看: 10163|回复: 31
收起左侧

[分享] 【测评】XP下国内杀软+大蜘蛛av+费尔断网安装不更新对抗比特币勒索病毒测试

  [复制链接]
ikochina
发表于 2017-5-19 14:02:34 | 显示全部楼层 |阅读模式
本帖最后由 ikochina 于 2017-5-20 10:52 编辑

对xp进行测试一:样本:样本采用@tg123321测试中的比特币勒索病毒:样本1为5月12日样本:http://bbs.kafan.cn/thread-2088953-1-1.html
样本2为5月18日样本,样本2有两个文件,一个是修改开机启动项,一个安装文件,安装后才启动,从虚拟机模拟情况来看,安装后系统迅速蓝屏并进入磁盘修复模式,修复后不管怎么重启都进入勒索页面,点击要求输入key,而无法再次进入系统:
http://bbs.kafan.cn/thread-2089907-1-1.html
共2个样本
二、系统说明:
系统在vm虚拟机下进行,测试完一款软件后恢复快照再次测试下一款软件
xp:遐想论坛【2016.9.29更新】GHOST XP SP3 X32遐想网络 纯净驱动版 V16.9
采用纯净驱动版是因为除开驱动外没装任何软件,虚拟系统环境为4g内存,60g硬盘,开启网络
三、杀软:百度卫士和百度杀毒已不更新,就不测试了
1、360卫士离线救灾版11.2.0.2023
2、360杀毒增强安装版5.0.0.8023
3、360杀毒国际版8.8.0.1033
4、2345安全卫士增强版2.12
5、电脑管家12.5.18754.212
6、瑞星2017 24.17.01.55
7、金山毒霸11 170516离线包
8、金山毒霸论坛开放版4.8(5月18日更新包)
9、火绒4.0.22.1包含扩展工具完整版
10、江民速智16.0.13.301
11、费尔8.17
12、微点主防170515.2.0.20266.0146
13、微点杀毒170515.1.2.10582.0282版
14、大蜘蛛11av版(我们来看看大蜘蛛怎么样,和国产有无差距)

四、测试样张(xp系统)
(一)360卫士离线救灾版11.4.0.1002

先不安装这些漏洞补丁

强大的广告啊,才装完就给我来一发

开启勒索保护

更新到最新版本

开启所有引擎并自动更新到最新病毒库

样本1扫描未报毒,文件被加密了的,不过不报问题也不大

解压没报就不正常了,文件成功解压

样本1双击,成功拦截

样本1成功拦截,文件未被加密

样本2扫描仍然不报

样本2解压也没报

样本2的两个文件双击报毒和可疑修改启动项

成功拦截,未加密

样本2中修改启动项的木马文件未被删除(因为只是报的可疑),也不能手动删除

用360文件粉碎机成功删除
总结:360救灾版基本完成拦截任务,但在解压的时候不报毒还是有点提心吊胆的。
(二)360杀毒增强版5.0.0.8023版
升级到最新版本,全引擎开启

解压删除了样本1和2-2,接下来恢复不添加白名单

双击是同样的命运,样本1和2-2被杀

2-1双击报可疑被阻止,未删掉母体

手动删除不了,提示用粉碎机粉碎

成功删除

文件未加密
总结:比360卫士成绩要好,至少在解压的时候就发现并删除了
(三)360杀毒国际版8.8.0.1033版
默认安装


更新到最新版,bd病毒库有点老啊,还是4月的

扫描不报毒

解压样本1报毒

解压样本2-2报毒

双击样本1报毒

双击样本2-2报毒

双击样本2-1报毒

删除不了,无提示,当然了国际版没有粉碎机模块

文件未被加密
总结:和360增强版差不多的表现,不过在测试的时候,时间延迟比增强版严重2-3秒,特别是解压到文件夹的时候,另外还有广告和没有粉碎机模块,所以建议国内朋友就用国内版,没必要用国际版,bd病毒库更新也太慢了,差距一个月啊
(四)2345安全卫士增强版2.12版

主程序最新

小红伞最新,看到5月19的病毒库还窃喜了一把

扫描不报

解压正常,双击的时候手都开始发抖啊

运行样本1成功,在截图的时候终于弹出窗口删掉了部分病毒,但

全部文件被加密,样本文件夹被删除,强大的界面啊,还有个报错,不知是虚拟机原因还是2345删掉的部分病毒原因
恢复快照继续测样本2,样本2先测2-1

样本2-1正常运行

样本2-2正常运行安装

安装样本2-2后运行造成虚拟机蓝屏自动进入磁盘修复界面(速度有点快,蓝屏没截到图)继续跟进,看能否修复进入系统

15分钟后跳出这个界面了,重启也不能进入系统

点击页面要求输入花钱买来的解密key
小结:看来2345真是来打酱油的,这个勒索页面感觉比样本1的更强大啊
(五)电脑管家12.5.18754.212版

主程序最新,开启bd引擎

开启bd

扫描正常



解压全部清除,恢复后仍然被清除了

文件未加密,满分通过啊
(六)瑞星2017 24.17.01.55

最新版本,因瑞星是实时更新,所以没有病毒库更新入口

扫描无毒


解压均报毒

双击样本1报毒

双击样本2-1报毒

双击样本2-2正常安装

运行样本2-2错误,母体未删除

文件未加密
小结:防御还可疑,但能看得出来过分依赖于网络,在双击运行时效果略差
(七)金山毒霸11 170516版
安装界面不错,软件主界面也漂亮,就是广告太多影响视觉啊

开启kvm

更新

好多广告

扫描无毒

正常解压

样本1成功拦截

样本2-1成功拦截,但这个记事本还是打开了

样本2-2成功安装

样本2-2运行被拦截并自动进入快速扫描

快速扫描结果,下面一个不是

虽然没删除样本2两个母体,但手动删除很轻松

文件未加密
小结:从防御来说和其他杀软有差距啊,不过总算是有惊无险的防住了
(八)金山毒霸论坛开放版4.8
这个测试和普通版结果没任何区别,懒得传全部图了





(九)火绒4.0.22.1包含扩展工具完整版

更新

扫描没报

解压没报



双击全杀

未加密
小结:在解压没报的时候,真的虚啊,不过后面拦截包括母体都很完美
(十)江民速智16.0.13.301

更新

扫描无毒

样本1解压报毒

样本2成功解压

样本2-1成功运行,修改启动项

样本2-2安装到最后报毒

样本2-2不能运行

文件未加密
小结:防住三分之二,修改启动项被无视了
(十一)费尔8.17版

更新,好慢啊,107兆

扫描无视

样本1解压

样本2解压,2-2被杀

样本2-1运行提示未知和非法注册表修改

完美防御,未加密
小结:费尔虽然有点老了,但还是能防住,效果还算不错
(十二)微点主防170515.2.0.20266.0146版

更新

扫描

解压样本1

解压样本2成功

运行样本2-1成功,但在大约20秒后弹出拦截到木马

样本2-2成功安装

运行2-2被拦截

文件未加密
小结:中途出现了遗漏,但最终还是拦截成功
(十三)微点杀毒170515.1.2.10582.0282版

更新

扫描无反应

正常解压

运行样本2-1成功,无任何提示

样本1中招,文件被加密,样本文件夹被删除,重新开始测样本2-2

成功安装

成功运行,界面和2345一样
小结:这次微点杀毒垫底了啊,全程无任何提示,2345至少在中招的时候还提示并删除了部分病毒,哎,看来真的老了
(十四)大蜘蛛av版(8元版)

更新

扫描

解压干掉1和2-1

安装2-2无提示

运行2-2拦截

未加密
小结:有点小失落啊,效果并没想象中的好
总结


从前面可以看出,这次12号和18号的变种拦截最完美的是管家,其次火绒,再是360杀毒增强版等,2345和微点杀毒垫底了

在断网不更新的情况下,再次测了费尔8.17的表现见http://bbs.kafan.cn/thread-2090168-1-1.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +20 人气 +3 收起 理由
屁颠屁颠 + 20 + 1 鼓励测试
houtiancheng + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )

查看全部评分

mmppp9898
发表于 2017-5-19 15:40:21 | 显示全部楼层
同类测试早已遍地是,而且你测试的日期那么晚,早就被各家拉黑入库了,请问测试意义何在?想说明什么?
252322131
发表于 2017-5-19 15:46:18 | 显示全部楼层
前排正坐观看
Llano_心情
发表于 2017-5-19 15:50:40 | 显示全部楼层
把半残的百度也带上吧,哎。对了瑞星新出了专门防御的“瑞星之剑”软件,和安天的安天智甲防勒索免费专版
dg1vg4
发表于 2017-5-19 15:57:50 | 显示全部楼层
本帖最后由 dg1vg4 于 2017-5-20 17:58 编辑

后排说明,瑞星没有2017这个说法,只有v17这个说法。
还有,瑞星刚出了一个防勒索程序,说能防未知勒索程序,不知道能不能做到。
http://www.rising.com.cn/j/
最后,v17有更新入口。
英雄小子
发表于 2017-5-19 15:59:13 | 显示全部楼层
dg1vg4 发表于 2017-5-19 15:57
后排说明,瑞星没有2017这个说法,只有v17这个说法。
还有,瑞星刚出了一个防勒索程序,说能防未知勒索程 ...

坐等大神测试结果
900703
发表于 2017-5-19 16:03:11 | 显示全部楼层
卡位卡好等後續 . @ikochina 有連接網路嗎?
幽冥の龙
发表于 2017-5-19 16:08:30 | 显示全部楼层
我在想火绒规则自己写个拦截文档修改的规则是不是可以 0.0
646282
发表于 2017-5-19 16:17:52 | 显示全部楼层
等半天了,还没结束么?
大明湖畔的乾隆
发表于 2017-5-19 16:18:04 来自手机 | 显示全部楼层
怎么还没出结果?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2021-10-24 21:21 , Processed in 0.134361 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表