灰鸽子闯关记——加壳的鸽子，能过多少杀软？

伯夷叔齐

转自天涯社区
作者：屈家人

几天网上关于灰鸽子的新闻铺天盖地，灰鸽子不仅威力大，而且总能躲避各种杀毒软件的追杀，这让我对灰鸽子一下子来了兴趣，于是找朋友搞到了54个家了壳的灰鸽子，进行测试，看看到底哪些杀毒软件是“鸽子猎手”。经过紧张激烈的大规模测试（也有别的朋友的劳动成果），把结果贴出来，供大家参考：）
　　
　　 [知道“灰鸽子”的朋友可略过此段 “灰鸽子”是一款集多种控制方法于一体隐蔽性极强的木马病毒，一旦用户电脑不幸感染了灰鸽子，黑客或不法份子便可以在电脑进行绝大多数操作，监控用户的一举一动，窃取用户的帐号、网银、文件轻而易举，而用户自己却丝毫没有察觉。灰鸽子病毒英文名为win32.hack.huigezi，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马，经过作者的不懈努力，该病毒从2004年起连续三年荣登国内10大病毒排行榜，至今已经衍生出超过6万多个变种。
　　
　　 下面要上图拉：
　　
杀软列表


先上张样本图



　 　 [知道“灰鸽子”的朋友可略过此段 “灰鸽子”是一款集多种控制方法于一体隐蔽性极强的木马病毒，一旦用户电脑不幸感染了灰鸽子，黑客或不法份子便可以在电脑进行绝大多数操作，监控用户的一举一动，窃取用户的帐号、网银、文件轻而易举，而用户自己却丝毫没有察觉。灰鸽子病毒英文名为win32.hack.huigezi，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马，经过作者的不懈努力，该病毒从2004年起连续三年荣登国内10大病毒排行榜，至今已经衍生出超过6万多个变种。
　　
　　 （一） 第一个要请上来的就是杀软行业的老大哥Symantec的企业版来看看，版本为10.2,病毒库为3.16日的最新版本（如图），疗效怎么样呢？结果54个文件只检测到了13个，真的不令人满意，见图：

Symantec病毒库为3.16日的最新版本


Symantec查毒结果



　 （二） 接着来，第二个让我们看看采用了四引擎、在国内Fans中口碑不错的F-secure，因为来自芬兰，许多朋友亲切的称它为“芬杀客”，而且在国外的一些专业杀软评测中经常摘金夺银，非常风光，但是在灰鸽子面前，它会怎样?我采用的版本是F-Secure client security 6.03版本，病毒库已经升级到了最新。
　　
　　　　 测试的时候在病毒与间谍程序的防护选项上已经设定为最高，但是扫描结果却让我瞠目结舌；扫描选项之中的扫描压缩包文件是打开的，但是当我解压缩文件包的时候，F-Secure却开始报警，显示有灰鸽子程序存在；在整个解压缩过程之中，发现了11个威胁，结果不能令人满意。与此测试相关图片给大家奉上哈：
　
F-Secure client security 6.03版本病毒库



扫描



查杀结果



（三）一个一个来哟，现在请出我最喜欢的Mcafee Enterprise 8.5i，看看扫描结果：（我的8.5i企业版是集合了antispyware module的，将病毒库升级到最新版本之外，还加载了最新的Extra.dat）
　　
　　 用Mcafee扫描压缩包之后，发现了28个病毒文件，结果差强人意。不过Mcafee并不是依靠病毒特征码清除病毒取胜的软件，需要使用者自己设定详尽的规则来抵御危害，因此对于绝大多数初级用户而言并不适合。
　　
Mcafee Enterprise 8.5i



扫描结果



卡巴(kis6.0), 病毒库日期2007.3.16，查杀个数23



查杀效果



（四）接下来，笔者测试了时下非常火爆的NOD32，版本为2.7简体中文版，同时将病毒库升级到了2122（ 2007年3-17的病毒库），扫描后查出41只鸽子，效果还不错；但是还是有13个漏网的；
　　

查杀结果



　　 （五）再用在论坛里被许多玩家追捧的“小红伞” Avira Antivir的classic版本进行了测试（病毒库更新到2007-03.17），居然查出了53个。检出率非常高，但是用过小红伞的朋友有过切身体会，该杀软虽然查出率很高，但是误报也是高的惊人，因此我从来是不用它的；
　


　　 （六）那么，木马专杀工具效果如何？来看看ewido的升级版本AVG-antispyware 7.5，更新到了最新的特征码数据库，发现它是可以识别灰鸽子的，但是由于不是杀毒软件，并不是按照文件读取得方式来进行查杀，因此效果也不是很理想，如图：



（八）avk2006(集成卡巴和bd引擎)->单独拿出bd扫描.查杀效果，查到31个
　　
　　 设置单独引擎
　

　 （九）norman，病毒库日期最新版， 查杀效果 5个


（十）panda2005，病毒库日期2007.3.15， 查杀效果：5个
　　


　（十一）avast，病毒库日期2007.3.15， 查获结果38个



　　（十二）大蜘蛛(dr.web)也还行了，病毒库日期2007.3.16， 查杀效果41个



　（十三）安铁诺2008(auk2008)，病毒库2007.3.16，查获结果10个
　　


（十四）费尔2007，病毒库2007.3.16，查获17个。
　　


　 （十五）瑞星2007，病毒库2007.3.16，查获结果7个
　　




　 （十六）毒霸2007英文版，病毒库2007.3.16，查获全部54个样本
　　


查杀数54个



我一直对金山毒霸不感冒，因为在我的印象中并不是很好，但是这次测试金山毒霸却给了我最大的惊喜。我采用了非常极端的测试方式——将病毒月库和日库全部删除，看看仅仅凭借数据流杀毒技术，能否有效的对付灰鸽子。
　　 注意：现在主程序版本显示为3月13日，应该是显示错误，因为两个重要的病毒库文件已经被删除了。
　　结果还是查到全部54个样本，请注意这是已经删除病毒库文件后的检测结果。所有样本被报告为相同的病毒名，同上面的图有很大区别！
　　




还有呢（十七）江民2007，病毒库2007.3.16，查获31个
　　

[ 本帖最后由 伯夷叔齐 于 2007-5-24 14:45 编辑 ]

闪电战

LZ火星了

浪心雨

金山有那么好了吗

coolbox

LZ那里转来的贴啊.图完全看不到.不会是全选后全部复制过来的吧??????

tracydk

防盗链....

buycard

太火星了…………这帖子在很多地方都出现过。

伯夷叔齐

原帖由 coolbox 于 2007-5-24 13:17 发表
LZ那里转来的贴啊.图完全看不到.不会是全选后全部复制过来的吧??????

怎么我能够完整的看到，请后面回帖的再回帖确认。

adw2000

确实看不到图。。楼主再编辑一下吧

mofunzone

仔细学习一下浏览器的网页缓存机制吧
自己清空cache，看看你还能不能看见吧

Nerazzurri

图看不到…… avast!杀鸽子很牛的