SOPHOS清除病毒速度如此之慢是不是在修复系统感染文件？

jochelliu

接触SOPHOS不久，首先体验了一下样本处理速度，还算比较满意！

样本是昨天在样本区下载过SOPHOS的文件（WINHOST.EXE）

今天下午17：37上报，马上就收到系统自动回复

*NOTE: Please quote [#1267668] in the subject line of any further correspondence related to this query.

Thank you for submitting your sample. We will send you the results of our investigation as soon as possible.

到19：09分就能处理了，官方工作人员回复如下：

thank you for your email. The file winhost.exe that you sent to us for analysis is a Trojan, Troj/VB-EDD. An IDE file that will allow Sophos to detect this will be

released on the Databank later this afternoon. Please do not hesitate to contact me if I can be of any further assistance.

升级病毒库之后，在我电脑上扫描病毒文件选择清除时速度慢得吓人，就一个病毒文件足足清除了1分钟多。

开始还以为能把文件中的病毒代码去除，结果最后清除完毕还是直接把文件删除了。
由于该病毒是个木马下载器，猜想是不是SOPHOS在清除病毒文件的同时，也在扫描系统中已下载下来的N多木马，造成耗时长的问题

另外一个疑问是，5月6号到7号1天时间里，貌似病毒库就增加了146个，对于号称欧洲第一杀软来说入库是不是少了点啊

shiningheart

估计sophos和fs、norton一样在发现病毒时要检查系统的关键位置是否被病毒修改，所以比较慢
sophos的病毒库向来很小，貌似在版本升级时才升级很多，平时都很少，靠启发？希望论坛里的各位高手能证实一下

jochelliu

病毒库应该不小

再个也搞不懂SOPHOS的HIPS运行分析是基于什么原理，难道也带沙盘功能，可以在沙盘内对病毒文件进行行为分析？

bukkake

每月升级一次版本号就会增加两三万不等的病毒库，已经够厉害了。
另外你仔细看一下日志记录，会发现许多相同的文件名会报多次，这是因为sophos在同一个文件中发现了多个符合威胁的定义例如：
****************** Sophos Anti-Virus 日志记录 - 2009/5/7 23:13:50 **************

    ...
20090507 101336        文件"C:\Users\Administrator\Desktop\Kafan Virlist[090507]\090507-2-7.exe"属于病毒/间谍软件 'Mal/Basine-C'。
20090507 101336        文件"C:\Users\Administrator\Desktop\Kafan Virlist[090507]\090507-2-7.exe"属于病毒/间谍软件 'Mal/Behav-009'。
    ...
      (2 个项目)
而sophos要对每一个进行清除，自然很慢。

另外实践表明不选择自动清除，而选择移至infected文件夹，再到隔离区清除会快一些。

coolboy713

不懂这个东西