对于“续集“鬼影”是新毒吗？三个月前的360已经查得出了”的疑问和相关测试

显示全部楼层 · 发表于 2010-3-26 09:15:11

本帖最后由 sun2009 于 2010-3-26 09:47 编辑

本贴所针对的贴子见以下链接：
http://bbs.kafan.cn/thread-668721-1-1.html

昨天在本区看到了一个贴子，题为“续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试”，此贴中宣称360安全卫士在三个月前的老版本在不升级木马库的情况下可以发现“鬼影”病毒。刚一看到这个标题，心中很高兴，因为我的实机中一个系统中装的就是360安全卫士，对于一个安装了相关安防软件，且该软件在某次病毒事件中表现优良，心中的喜悦是可想而知的。但从360官网中并未就此事宣传，相反，官网宣传只有在最近一个较新的7系列的安全卫士的升级版中专门针对前些天出现的鬼影病毒进行了优化查杀。我不禁想到，既然三个月的老卫士已经查杀鬼影，360安全中心为何最近才能制出有效防治鬼影的功能来？那么，一个很大的可能性就是贴子中的作者的测试有问题。在这种想法下，我在虚拟机中再次用360安全卫士的老版本对鬼影病毒进行了测试，结果如下：

1、测试环境：虚拟机VM6.5中的WINDOWS XPSP3英文版

2、测试软件是360安全卫士6.1.5版（就没有用那个贴子的作者中的5版了，因为这个版本的木马库是2月份的，若能查出鬼影，也足能说明问题了）见下图：

3、测试病毒就是九尾野狐网友那个贴子中的鬼影病毒，母体文件是1.exe，也和“续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试”中的样本一样

4、测试开始：
（1）首先断网（我是直接拔掉网线的）
（2）安装6.1.5版的安全卫士
（3）安装后体检，所有监控都开，体检结果如下，大家注意，由于安装都在断网情况下进行的，所以在安全卫士的右边的界面上的连网信息并不可见，而在““续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试””中的第3步的图中可见其安全卫士的即时咨讯是可见的，所以该作者可能在安装卫士时是连网的，且已经下载了云库的特征码，在他的360的界面中仍然有即时咨讯，而断网上安装时是没有的，我的是断网下安装的，所以即时咨讯的内容是显现不出来的，见下图；我安装的安全卫士的木马库是2月10日的，所有监控都开，见下图：

（4）然后我运行了九尾野狐网友贴子中的鬼影病毒1.exe，结果360安全卫士6.1.5版在监控全开的情况下无任何反应，接着虚拟机中的系统变慢，经过长时间后才能打开其中的硬件管理器，查看了一下，系统已被病毒感染，见下图：

5、结论：
（1）360安全卫士的6.1.5版在刚安装后不升级木马库和不联网的情况下无法检测到鬼影病毒
（2）“续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试”的结论和本试验完全不同，分析了一下原因，有以下两种可能：
I 可能是安装时没有断网，所以已下载了最新的高危木马的特征码或相关防御策略。从该作者第3步中的图中可以看到，360的界面中仍然有即时咨讯，而我在拔网线断网时安装360安全卫士时是没有的。
II这种可能就是360安全卫士的5版优于6版的，这可能吗？360越来越退步了？

显示全部楼层 · 发表于 2010-3-26 09:20:10

本帖最后由 sun2009 于 2010-3-26 14:18 编辑

有网友提出以下观点，认为5版的行为拦截比6版的厉害，其中有网友这样说：“至于lz的测试为什么没反应，和飘的不一样，这个我就不是很清楚了，长长的测试贴我基本懒得看得很仔细，也许是6.0与5.x的拦截机制不同有关（如小白羊所说），也许是5.x的拦截太严厉造成某些bug或者冲突在6.x里面被改的宽松了～这不是不可能”

那么是不是这种情况呢？我据此又按以上方法，对5版的360安全卫士进行了测试，仍然是先拔网线再安装360安全卫士。由于不可能得到和那个贴子中作者一样的病毒库，所以我们不考虑特征码的问题，只考虑上面网友所提的行为拦截机制，看看是不是5版的拦截机制导致在5版中能拦到而6版中拦不到。

经过测试，同样5版的的安全卫士在断网不升级木马库的情况下运行鬼影仍然无任何提示，系统在这种情况下仍然被感染。见以下三个图：
1、先拔网线断网安装5版360安全卫士，体检后显示全开监控。因本测试主要针对网友说的5版的行为机制和6版不同所以拦截，所以木马库较旧并不影响该测试

2、双击后无任何提示

3、随后系统变慢，查看硬件管理器显示已中毒

结论：5版的行为拦截也未查到该病毒，没有出现“续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试”这个贴子中所出现的拦截提示。

附“续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试”贴中的360卫士相关关键图：从该作者第3步中的图中可以看到，360的界面中仍然有即时咨讯，而断网时安装时是没有的。

显示全部楼层 · 发表于 2010-3-26 09:28:55

支持 lz

显示全部楼层 · 发表于 2010-3-26 09:30:18

本帖最后由 ww635077649 于 2010-3-26 09:32 编辑

360杀毒还不如红伞F版功能多。

http://bbs.kafan.cn/thread-665739-1-1.html

显示全部楼层 · 发表于 2010-3-26 09:42:14

楼主分析的非常有道理，具有说服力。

显示全部楼层 · 发表于 2010-3-26 10:37:31

不晓得相信谁了

显示全部楼层 · 发表于 2010-3-26 10:42:06

不晓得相信谁了
wusuwusu 发表于 2010-3-26 10:37

相信LZ，360那个帖子太假

显示全部楼层 · 发表于 2010-3-26 10:46:02

不错，支持楼主

显示全部楼层 · 发表于 2010-3-26 11:23:28

我擦楼主不是我说你，360区给你们干吗的。没看见啊？还是没带眼镜啊？每天一次口水很好玩啊

显示全部楼层 · 发表于 2010-3-26 11:24:45

LS五毛谠❤首座。。。。
不够和谐啊。。。

[讨论] 对于“续集“鬼影”是新毒吗？三个月前的360已经查得出了”的疑问和相关测试

评分

评分