查看: 7005|回复: 25
收起左侧

[讨论] 小红伞avira antivir内存占用及不能有效杀U盘病毒的实例

[复制链接]
sdyccyb
发表于 2007-1-6 10:57:18 | 显示全部楼层 |阅读模式
昨天在办公室电脑虚拟机里装了c版小红伞,vmware+deepin,192M内存
总体感觉还行,但是有两个问题,跟网上流传的有些出入,请红伞迷和要装红伞的人看一下。
1。内存占用
附图里有说明,是开机三分钟左右的截图,另外我设置的是启发最高级(毕竟杀毒软件不是摆设需要这样设置)
两个进程加起来大约占34.6M的内存。开机十几分钟后仍然如此,不再附图。
2。查杀U盘病毒的实例
昨晚家里老婆U盘带来了一个木马,具体名字我没记,特点是四个文件:autorun.info, iexplorer.exe, svch0st.exe, tel.xls.exe, msvcr71.dll,其中autorun指向tel.xls.exe,tel.xls.exe伪装成excel图标,也就是说svch0st和 iexplorer很可能不会复制自身(没有尝试)。需要说明的是我禁用了自动播放。
A:dr.web4.33的表现
家里电脑装的是dr.web4.33,插入U盘后没有马上反应。双击tel.xls.exe后,dr.web立即报警发现一个病毒,并提示将 tel.xls.exe删除。删除这个文件后,手动扫描U盘,Dr.web没有进一步发现病毒。随即发现该病毒禁用了显示隐藏文件选项,稍微修改注册表后搞定了。没有继续尝试下去。
B:小红伞C版表现
今天在办公室虚拟机里尝试小红伞的表现,预先设置为显示所有文件(含系统文件),同样禁用了自动播放。插入U盘后,打开U盘根目录,小红伞马上报警,将 iexplorer.exe和svch0st.exe报成两个病毒并提示删除。删除这两个文件后,手动扫描后没有进一步发现病毒。然后双击 tel.xls.exe,小红伞照样没反应,但我的电脑里已经多了一个病毒进程:algsrv.exe,并且病毒已经将两个关键文件sockA.exe和 fileKan.exe拷贝到了系统文件夹,并设置了开机自动启动,修改了注册表使不能修改显示隐藏文件。随后费了好大功夫才将这个病毒手动删除掉。
结论是:
在这个U盘病毒上,小红伞的反应能力不能令人满意。如果我没有禁用自动播放,病毒自然已经感染了电脑而小红伞毫无反应。
第二个结论是,查出的病毒数量不是绝对的指标,dr.web查出了一个,小红伞查出了两个,但dr.web查出的是关键文件,而小红伞恰恰相反,把该查的tel.xls.exe给漏掉了。

[ 本帖最后由 sdyccyb 于 2007-1-8 09:49 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
sdyccyb
 楼主| 发表于 2007-1-6 11:00:19 | 显示全部楼层
不好意思,带着附图上传了好几次都失败了,所以只好暂时不贴图
blackfox
发表于 2007-1-6 11:49:59 | 显示全部楼层
小红伞对U盘病毒确实查杀不好,我也试验过,很多U盘毒红伞没反应
Oceanzd
发表于 2007-1-6 11:59:08 | 显示全部楼层

回复 #2 sdyccyb 的帖子

可能是附件太大了或者不符合格式,可以再试一遍
volcano
发表于 2007-1-6 12:02:49 | 显示全部楼层
红伞就是对U盘传播的病毒反映不行,上次一个SXS.exe和autorun.inf在红伞的机子上只能杀掉sxs.exe,但是对autorun.inf却一点反应都没有,但是在mcafee的机子上,两个都删除了,但是实在受不了mcafee那么复杂的东西,所以还是用红伞,希望他能更强一些!
tcs
发表于 2007-1-6 15:55:59 | 显示全部楼层
看来以后要少用移动存储设备了。
mofunzone
发表于 2007-1-6 16:57:44 | 显示全部楼层
首先我不知道你什么时候做的这个测试,tel.xls.exe这个病毒是我亲自上报给antivir了并且之后可以查杀,怀疑你的是新的变种,如果样本还在的话用样本区发一下。。
助于autorun.inf这个文件,和ini一样,只是一个文本文档而已,目的是为了自动运行病毒主题及exe文件,你把exe删了这个根本就没有什么用了,自己手动删除就好了
mcafee查杀u盘病毒的方法就是删除ini和inf文件,早就体会过了。。
妳的魚兒
头像被屏蔽
发表于 2007-1-7 16:10:22 | 显示全部楼层
看来小红伞要进一步加强在可移动存储设备的查杀
蓝色牛仔裤
发表于 2007-1-7 16:52:03 | 显示全部楼层
我觉得移动U盘的病毒始终还是专杀工具比较好,或者手动删除.
sdyccyb
 楼主| 发表于 2007-1-8 09:51:58 | 显示全部楼层

回复 #7 mofunzone 的帖子

已经上传在病毒样本区了,地址http://www.kpfans.com/bbs/viewth ... &extra=page%3D1

是2007年1月5号和6号做的测试,用的1月6号的最新病毒库

另外,加了附图,可能那天公司网络有问题。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 00:35 , Processed in 0.138694 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表