瑞星杀毒软件2010测试报告(6月24日)
没有什么废话好啰嗦,直接进入正题。
测试环境:
操作系统:WindowsXP pro SP3(虚拟机)
内存:224MB
瑞星程序版本:22.00.00.06
病毒库版本:22.01.02.03
一建议反馈
历史记录中的折线图为黑色背景,建议修改为白色背景,这样看上去更舒服一些。那个饼状图需修改,太粗糙。
杀毒界面设计的不够合理。为什么这么说呢?首先,上图的界面中“信息”这一块完全被浪费。因为点击“开始查杀”后,界面直接跳转到“详细信息”,而“信息”该栏与“详细信息”相比,就只是多了“查杀百分比”,很少有用户为了看一个百分比而切换到“信息”栏来看吧。所以,“信息”这栏完全是累赘。以前,多次提到的将杀毒界面独立出来的建议,依旧未被采用。我也不想多说了。不过还是希望,在下一个版本中能够将杀毒界面独立出来。好处太多,坏处就一个,增加了工程师的工作量。
该提示框的“动作栏”出现空白,不知是否是BUG?另外,我想提的是那个NBA2005的图标是黑色背景的,建议修改为透明。理由是,为了美观!
同上,背景是黑色的不好看。另外,“程序路径”,“网络动作”栏的数据未对齐。望工程师修改。
这个界面有几个小问题,那个“最近升级时间”的BUG应该很多人都反馈了。另外,“最多利用漏洞”这句话听上去是不是有点别扭啊?建议修改为“受攻击最多的漏洞”。此外,“查看详情”中,点击“查看”二字不能跳转到另一个页面,这是怎么回事?
主动防御的提示总体来说清爽了许多,有点像卡巴斯基。但是,问题还是比较多。
先说版面上的问题,“其他操作”中的按钮位置摆放不整齐,好别扭。另外,由于不提供时间修改,所以留给用户阅读信息的时间非常短。而在这非常短的时间内,提示框提供的可用消息非常少(指不点开“详细信息”),给用户的选择带来困难。而点开详细信息后,就显得清楚多了,用户能较容易地明白发生了什么事。这样一来,用户就必须每次在短短的时间内点开“详细信息”然后再做选择,无形之中破坏了使用感受。如果可能的话,对该提示框做较大改动。使用户在不点开“详细信息”也能基本明白如何操作。最后,“触发动作”里有较大空余,不知用作何用途。而且句子未显示完整。
防火墙的提示框做的过大,总共就那么点信息,能做多小做多小吧。提示类的信息,完全没必要占太多地方。
这个图标是在升级过程中,点击“隐藏升级图标”后出现的。很多年了,这个图标就没改过。如此丑陋的图标,工程师是不是改动动手修理修理了?或者,干脆将此图标去掉,“隐藏升级图标”改为“升级完成后提示”,升级后,直接弹出一个迷你提示框,此类设计很早我就提出过。如:
二BUG反馈
安装后的“查看隐私声明”需联网才能查看,而当时处于网络断开状态,设计有问题,应该改为本地查看。
图标小BUG。
三木马行为防御测试
设置:
其余设置均为默认。
样本一:
1.exe 加壳:WinUpack 0.39 final 文件监控可以侦测
然而,当监控弹出提示框后,选择“不处理”,程序出错。绿伞退出。该情况可复现。
双击运行后,木马行为防御成功拦截。
样本二:
Uninstall.exe 加壳:ASPack 2.12
手动扫描,未报毒。
双击运行后,mstsc.exe联网。经查证,mstsc.exe是Windows远程桌面连接程序。
防火墙中可看到此连接。而木马行为防御未有反应。该样本已上报。
然后,用SSM,侦测到该程序有以下动作:
进程:
路径: C:\Documents and Settings\LC\桌面\Uninstall.exe
PID: 3124
注册表群组: System Critical
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
注册表值: PendingFileRenameOperations
新的值:
类型: REG_MULTI_SZ
值: \??\C:\DOCUME~1\LC\LOCALS~1\Temp\EF14DD2E80224FEDB8C1ED47D57E1832.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\3D10F759ED5A4325B991D0E3317166C1.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\195E808C64B641D0A0B3596BB5F69C3C.exe
先前值:
类型: REG_MULTI_SZ
值: \??\C:\DOCUME~1\LC\LOCALS~1\Temp\EF14DD2E80224FEDB8C1ED47D57E1832.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\3D10F759ED5A4325B991D0E3317166C1.exe
父级进程:
路径: C:\Documents and Settings\LC\桌面\Uninstall.exe
PID: 3124
子级进程:
路径: C:\Documents and Settings\LC\Local Settings\Temp\195E808C64B641D0A0B3596BB5F69C3C.exe
命令行:"C:\DOCUME~1\LC\LOCALS~1\Temp\195E808C64B641D0A0B3596BB5F69C3C.exe" 3124 C:\Documents and Settings\LC\桌面\
父级进程:
路径: C:\WINDOWS\explorer.exe
PID: 1984
信息: Windows Explorer (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\verclsid.exe
信息: Verify Class ID (Microsoft Corporation)
命令行:/S /C {2559A1F4-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
父级进程:
路径: C:\WINDOWS\explorer.exe
PID: 1984
信息: Windows Explorer (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\verclsid.exe
信息: Verify Class ID (Microsoft Corporation)
命令行:/S /C {2559A1F5-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
其中,verclsid.exe是微软KB908531补丁的组成部分。
摘要
本文的目标读者: 使用 Microsoft Windows 的客户
漏洞的影响: 远程执行代码
最高严重等级: 严重
建议: 用户应立即应用此更新。
样本三:
相册.exe 未加壳
手动杀毒未报毒。
木马行为防御成功拦截。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.2)
