McAfee(中文正名:迈克菲)咖啡,小弟是咖啡的正版爱用户,虽然在某部分测试报告咖啡稍微输给诺顿,但是实战上诺顿在台湾漏报很多很多威胁明显与测试报告出入很多(在台湾人心中与实际测试下都比诺顿来的强),个人发现虽然咖啡处理威胁样本很慢,但是通常定义出来的发生变种100个有90个都可以辨识~!!
那接下来我们切入主题来台湾,台湾这两天一共有17网站被入侵(在大炮部落格知道分析过的),包含高雄市公车,国立政治大学....等,可以说相当严重.但是我详细走访这17网站发现,17网站~有些网站有新木马,虽然咖啡无法辨识新木马程式(其实新木马包含卡巴.诺顿.趋势.panda.f-s.Dr.web,nod32都无法辨识的),但是咖啡会报vbs网页威胁与exploit,有些网页扫描虽然无法辨识-但是只要执行咖啡就会自动移除vbs恶意指令码~!!这些恶意连结不外乎一定有木马程式,不过对於木马程式来说,咖啡的实战辨识能力非常强,今天就是测试3木马卡巴只报1,咖啡报1已知2启发~!
报木马程式其实并不足够的,还需要报网页威胁或者移除恶意指令码,这样即使是在怎样的新木马也无法植入用户电脑~!!
好~如此我来测试17网页(有些连结到同一木马但是网页恶意指令码不一样),详细算咖啡(家庭个人07版)只有1新网页威胁与1木马程式miss~但是我们来看其他防软呢?!简单来说:不是漏报网页威胁就是漏报木马,诺顿不用说状况非常遭<几乎miss>,那卡巴斯基呢?!老马可以,网页威胁17报1,木马程式也是一踏糊涂,那AntiVir报的就比较多,但是网页威胁报的少,木马即使启发报壳也不错,那趋势呢?!状况比诺顿好~没红伞好,nod32呢?!启发式报木马,但是网页威胁报的很少跟红伞差不多,整体来说mcafee不管报网页威胁与移除恶意指令码与程式三方面来说是最优胜的~虽然报木马没有AntiVir与nod32启发强,但是计算网页威胁与移除恶意指令码就胜过了~!!
其实一直以来我在台湾大论坛上都保持中立的态度,不过这几天测试入侵网页发现咖啡能力真的相当不错,但是我是台湾no virus团员,客观态度我不能在台湾各大论坛表述,只能各大论坛发帖放威胁给网站,再回覆mcafee测试结果证明~!!
结论:网页威胁与移除恶意指令码,mcafee算是非常强,木马表现还好,但是台湾用户可以放心了,被入侵的17网站,16咖啡皆可以报网页威胁与移除恶意指令码那些木马皆无法植入下载运作~!!
咖啡最让我不满意受不了的是:回报威胁样本处理速度~慢~!!希望这一点可以改进~也希望在此版同号可以协助咖啡~!!
小弟的个人感触,如有冒犯请见谅~ !!
--------------------------------------------
mcafee回报信箱:virus_research@avertlabs.com
压缩格式一定要:WIN~ZIP~!!密码:infected
------------------------------
大概解释一下恶意指令码、网页威胁. 在首页~原始码会导入其他网页<浏览器会下载网站的东西放在暂存资料夹>,假设被入侵植入恶意连结,浏览器下载到网页威胁,例如:xx.html就会报~网页威胁!在台湾的手法是,植入一恶意连结导入恶意网站,之后再导入两个恶意连结一个vbs(恶意指令码)辅助执行下载~一个网页含有木马~!
因为骇客手法很多,所以有些恶意网页被浏览器不算威胁但是含有木马程式可载,执行浏览器后咖啡会自动移除恶意指令码~!我大概贴一下图好了~!不过繁体~!!
恶意指令码:
网页威胁(其中一种,择一种贴图):
[ 本帖最后由 黑衣~魂 于 2007-2-6 23:44 编辑 ] |
发表于 2007-2-6 21:37:18
发表于 2007-2-6 21:50:31
楼主