最近俄罗斯的著名杀毒软件厂商卡巴斯基和国产的二大著名杀毒软件厂商瑞星和江民为“熊猫烧香”病毒打起了口 水战.笔者看了他们争论的问题焦点其实有二个,一个就是卡巴斯基和瑞星和江民能不能在没有熊猫烧香病毒特征码的情况下拦截并杀除他.另外一个是在熊猫烧香 病毒感染电脑后,各个杀毒软件厂商推出的专杀工具是不是有用?
第一个问题很关键,这关系到杀毒软件对付未知威胁的能力,现在的主流杀毒软件大多都在特征码杀毒技术外增加了启发杀毒、虚拟机判断、行为杀毒、HIPS控 制等主动防御模块,,都不同程度的拥有了对付未知威胁的能力, 这次测试采用了打口水战的三方加上金山以及目前新兴起的微点.用笔者的机器(笔者机器为p43g,512内存)做小白鼠,采用了这些杀毒软件的当前版本, 但是都是去年的病毒特征码,用收集到的今年一月的几个熊猫烧香病毒变种来试验,经过六个小时惊心动魄的试验得出了一个完整的结果.
本次测试所用五款杀毒软件分别是:
卡巴斯基互联网安全套装6.0版 病毒库日期:2006年8月
瑞星杀毒软件下载版 病毒库日期:2006年12月
江民杀毒软件Kv2007 病毒库日期:2006年12月
金山毒霸2007杀毒套装 病毒库日期:2006年11月
微点主动防御软件 测试版 病毒库日期:2006年11月
第二个问题比较复杂,因为现在的专杀工具很多.对付熊猫烧香的水平也不一样.笔者准备只在最后用试验结合几次实际工作探讨一下.
一、卡巴斯基的表现和缺憾
首先出场的是声称在这次熊猫烧香病毒泛滥中,正版用户没有一个中毒的卡巴斯基。笔者从官方网站下载了卡巴斯基最全面的KIS(卡巴斯基安全套装),并打开所有的防御功能。ps:实测结果KAV一样。
然后安装,安装好以后故意不升级病毒库,这样卡巴斯基的病毒定义就是去年八月的。同时弄到了几个今年一月的熊猫样本进行测试。
 |
| 病毒库日期 |
第一个熊猫病毒解压后,虽然扫描后没有发现病毒,但是一运行,卡巴斯基的主动防御模块就报警了!
 |
| 红色警报 |
既然出现了红色的警报,说明这个软件的风险比较高。立即按终止。然后就是这样提示:
 |
| 主动防御启动 |
按恢复后,卡巴斯基就清除了刚才熊猫造成的影响。也就是是说清除干净了。
然后笔者又运行了几个变种的熊猫,结果基本一样。然而,由于其中一个变种在解压的同时就发作,卡巴斯基当时就顿了一下,系统占用顿时非常高!虽然后来也是 弹出主动防御的拦截窗口,并提示恢复了更改。但是最后发现虽然其他软件都安然无恙,但是用来解压的winrar程序已经被感染!
 |
| WinRAR被感染 |
这个案例说明,卡巴斯基杀毒模块加上主动防御模块确实占用系统资源很高。在病毒也疯狂抢占系统资源的那一刹那。有可能来不及完全拦截住病毒,造成部分感染!
笔者在安装卡巴斯基的时候发现了这样一个问题,如果是自定义安装,在防御熊猫烧香病毒中发挥了重要作用的主动防御模块居然在他的默认安装时候是不默认安装启用的!
 |
| 默认基本保护中没开启的选项 |
默认基本保护是这样的,主动防御模块有两个选项是没有启用的。
 |
| 主动防御功能中没开启的一些功能 |
第二个打了红框的选项不是默认的!默认推荐大多数用户安装里面没有完整的安装主动防御!由于主动防御模块是新增加的,某些技术还在完善中。常有正常的程序 经常被主动防御报警,有时候甚至是红色的危险报警。估计卡巴斯基为了不给普通用户造成困惑,所以在自定义安装中默认不完全启用主动防御模块。
如果没有启用扩展防护,最后一步的恢复就是失败的,也就是不能完全清除。
 |
| 恢复失败 |
卡巴斯基的小结:卡巴斯基的主动防御确实很优秀,在特征 码无法识别的情况下确实可以拦截住新的熊猫烧香病毒,但是由于安装时候为了方便用户,没有完全安装的主动防御是不能彻底恢复病毒的影响,同时由于某些熊猫 烧香的变种的传染速度很快,卡巴斯基在一些配置相对低的电脑上不能完全阻止病毒的传染。笔者机器为p43g,512内存似乎还不够。
[1] [2] [3] [4] 下一页
[组图]首度测评:熊猫烧香下五大杀软表现
您现在的位置: