这是从江民那里弄来的:
“落雪”木马专杀对比:江民 vs 瑞星
因样本与时间都有限,本文的测试仅做参考。测试并不完全,仅做最直观的表面测试用
样本信息:1.com 2.com 3.com 4.com
江民专杀与瑞星专杀信息:
江民=〉1.0.0.1 UPX加壳 56,320字节
瑞星=〉1.1 (1.1.0.2) 未加壳 389,236字节
KV2006与瑞星2006对样本的病毒命名:
此主题相关图片如下:
此主题相关图片如下:
测试前言:所谓的专杀,只是针对特定病毒做的一个清除工具。
专杀最基本的功能得有:
1、对特定病毒100%的清除
2、能够完全恢复病毒对系统的修改(这里主要指对注册表的修改)
3、扫描速度快
测试结果:
从江民下载的专杀没有更改扩展名,仍然以EXE为后缀。从瑞星下载的专杀已经将扩展名更改为COM。或许有人会说瑞星考虑周到,按照常理的确这样认为,不过错了。
病毒修改了EXE文件关联,再执行EXE文件的时候会自动激活病毒,但是并不代表EXE的无法执行,所有EXE文件仍然可以正常执行。
瑞星的专杀工具有提示用户到安全模式下操作,否则可能有异常现象发生。不过测试过程没发现什么异常现象。
所有样本均为运行并清除后再执行下一个样本的测试。
扫描速度:江民——相当快 瑞星——比较慢
病毒清除结果:江民和瑞星均可成功终止内存中已激活的病毒体,对所有样本均完全清除。
注册表修复结果:看似两个专杀都恢复了系统默认关联,不过我们还得简单测试一下。
对于EXE的关联问题江民和瑞星都将起恢复为系统默认,其他的呢?
“落雪”修改了相当多的程序关联,我没依依测试,就做了一个简单的就得到结果了...
建立一个a.htm的文件放在桌面,然后分别在两个专杀清除病毒后执行这个HTM文件,结果如图:
此主题相关图片如下:
此主题相关图片如下:
很显然,江民的专杀恢复了htm文件以默认的IE打开,而瑞星的专杀似乎错误的修复成了以记事本方式打开。
其他的关联测试没兴趣做了...
结语:无论你的系统是否受此木马的破坏,执行了江民的专杀工具并进行了扫描后,所有的关联问题(这里指病毒会修改的关联地方)都将会恢复为系统默认状态。
病毒只有在激活状态下江民的专杀才会发现病毒,江民的专杀从内存扫描开始,在内存中若没发现病毒的活动便会停止。