1234   1  /  4  页   跳转

[RAV] 瑞星杀毒软件2010测试报告【终结篇】

瑞星杀毒软件2010测试报告【终结篇】


前言:
  时间匆匆流逝,瑞星2010公测的第一阶段就要接近尾声。在这些日子里,每一位参与测试的人员都在无私地奉献着,而瑞星的工程师们一直与我们同在,共同承担着完善瑞星2010的重任。对于用户提出的每一个问题,每一个建议,工程师们都认真地收集,这种负责的精神深深感动着我们。在这里,我要感谢每一位瑞星工程师,当我们测试得疲惫不堪时,是你们的回复鼓舞着我们,给予我们动力继续进行测试工作。瑞星因有如此出色的工作团队而显得蓬勃向上。祝愿瑞星能够继续取得更大的进步,成为民族的骄傲,成为世界的骄傲!

我眼中的瑞星杀毒软件2010
  近两年来,瑞星的进步速度愈来愈快。去年的瑞星杀毒软件2009加入了木马入侵拦截并搭建了云安全平台,并取得了良好的成绩。今年,瑞星杀毒软件2010虽然界面上没有给用户太大惊喜,但是功能上的改进还是令用户喜上眉梢。瑞星杀毒软件2010给用户提供了多重安全保障。首先是加入了启发式扫描引擎的监控系统。这是最外层的保护,如果病毒想入侵用户的计算机,那么必须得躲过监控系统的法眼。随着云安全系统的升级,瑞星收集并处理病毒的能力得到巨大提升。据某测试员反映,云安全平台最快可以在六分钟内对上报的病毒做出反应。瑞星的更新频率也提高到了新一水平,基本达到每一个小时更新一次。源源不断的病毒特征码从瑞星的服务器下载到用户的本地计算机,使得第一重安全保障就牢不可破。如果病毒侥幸没有被监控系统监测到,那么接下来应战的就是木马入侵拦截。目前,大多数病毒主要是通过网页挂马形式进行传播。木马入侵拦截通过对网页的恶意行为进行监控,可以在没有特征库支持下拦截病毒下载到本地,这使得病毒很难下载到用户的计算机,更何况想在用户的计算机上运行了。上面提到的两重保障还不是瑞星杀毒软件2010的拿手绝活。真正的看家本领得留在最后。改进后的木马行为防御和系统加固为用户提供了最坚固的第三重安全保障。你是否还记得从前的主动防御频繁的弹出对话框询问用户?在瑞星杀毒软件2010中,那将成为过去。木马行为防御通过分析病毒的一连串行为,而非监测到单一动作就询问用户,为用户的计算机提供了智能化和个性化的保护。系统加固,作为木马行为防御的搭档,可以配合木马行为防御,牢牢坚守系统的关键部位。一旦监测到病毒的恶意动作,就会将其拦截并通知用户。未知病毒很难突破这层铜墙铁壁。除此之外,瑞星还提供了应用程序加固和应用程序控制,使得用户可以个性化定制计算机的安全服务。

测试环境:
操作系统:Windows XP SP3(虚拟机)
内存:256MB
浏览器版本:IE6.0
瑞星程序版本:22.00.00.35
病毒库版本:22.03.02.20

BUG及建议反馈
  
文件监控设置为发现病毒不处理后,无法正常打开文件。


更新界面中的图标未与新版本同步,采用的是2008版本中的图标,建议统一更新图标。


建议将信息提示框的设置集成到一个页面,这样利于用户设置。


建议在防火墙的提示框中加入类似于Comodo的Threatcas评分功能。


咱语文水平不是很高,但我觉得这句注释是句病句!主语被省略了。工程师觉得呢?

对抗测试:
文件监控关闭,其余为默认设置。
1文件名:4.exe
该病毒主要针对ESET NOD32。通过CMD.EXE将ekrn的启动项禁止,并结束进程ekrn.exe和egui.exe。
企图修改C:\WINDOWS\system32\rundll32.exe使得开机自动运行 C:\WINDOWS\tete2725734t.dll。

此类加载DLL文件的方式,瑞星木马行为防御可以轻松拦截。

2文件名:1690.exe
该病毒通过C:\WINDOWS\system32\services.exe在注册表创建服务:
HKLM\SYSTEM\CurrentControlSet\Services\szace
HKLM\SYSTEM\CurrentControlSet\Services\szace\Security
然后启动C:\WINDOWS\system32\szace.exe并试图联网,被瑞星防火墙拦截,删除自身,重启计算机后,szace.exe被成功加载。
瑞星的主动防御未能发现该病毒。



未对HKLM\SYSTEM\CurrentControlSet\Services\进行监控。

3文件名:css.exe
该病毒文件监控可以查杀,病毒名为:Trojan.PSW.Win32.OnlineGame.zg。
运行后,病毒启动C:\WINDOWS\system32\rundll32.exe,修改rundll32.exe,实现431281830don.dll开机后自动运行。
然后通过C:\WINDOWS\system32\cmd.exe,在C:\DOCUME~1\LC\LOCALS~1\Temp释放d.bat。
其中,修改自动运行项和431281830don.dll的联网行为被拦截。但rundll32.exe被修改。







rundll32.exe被修改的问题上次也提出过。


4文件名:M-Server.exe
该病毒在后台启动C:\Program Files\Internet Explorer\IEXPLORE.EXE并修改其物理内存。
修改注册表:
HKCU\Software\Microsoft\Internet Explorer\Main
键值改为:2C0000000200000003000000FFFFFFFF...
HKCU\Software\Microsoft\Internet Explorer\TypedURLs
键值改为:http://baidu.com/index.php?tn=bd1001_dg
再通过C:\Program Files\Internet Explorer\IEXPLORE.EXE启动C:\Documents and Settings\LC\Local Settings\Temp\win.exe。
通过C:\WINDOWS\system32\services.exe修改注册表:
HKLM\SYSTEM\CurrentControlSet\Services\6to4
键值改为:C:\DOCUME~1\LC\LOCALS~1\Temp\win.exe
HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters
键值改为: C:\WINDOWS\system32\nt6to4.dll
再次通过C:\Program Files\Internet Explorer\IEXPLORE.EXE启动未注册的程序C:\WINDOWS\system32\ntvdm.exe。
C:\WINDOWS\system32\ntvdm.exe启动C:\WINDOWS\system32\conime.exe。
不过,win,exe自身出错,未能正常运行。

瑞星的主动防御未能发现该病毒。
多次发现,病毒在后台启动IE进程,瑞星不能监测到。

5文件名:QQ2009chs.exe
病毒运行后,有多项动作:
通过C:\WINDOWS\system32\services.exe执行:
添加注册表实现开机启动
HKLM\SYSTEM\CurrentControlSet\Services\ufad-dns60
并实现映像劫持。
C:\Documents and Settings\LC\桌面\test\QQ2009chs.exe修改注册表:
HKLM\SYSTEM\CurrentControlSet\Services\ufad-dns60\Parameters
HKLM\SYSTEM\CurrentControlSet\Services\ufad-dns60
当病毒想加载C:\WINDOWS\system32\alUAGQVcSKed.dll时,木马行为防御开始行动,成功拦截病毒。

该实例很好地证明了木马行为防御的智能化及人性化,经过对病毒一系列行为的监控,最后将病毒歼灭。


6文件名:xx4.exe
利用SSM监测到病毒存在以下行为:
进程:
  路径: C:\Documents and Settings\LC\桌面\test\xx4.exe
  PID: 1648
注册表群组: Malware
对象:
  注册表键: HKCR\CLSID\{A0C86020-5935-4B87-B20E-0B656D450264}\InprocServer32
  注册表值: (默认)
      类型: REG_SZ
      值: C:\WINDOWS\system32\A0C86020.dll

系统加固拦截。


该病毒刚想通过C:\WINDOWS\system32\A0C86020.dll挂钩,挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息),就被木马行为防御拦截。

从该实例中,我们可以看出木马行为防御与系统加固配合默契。

7文件名:lei1116.exe    病毒名:Trojan.Win32.Generic.11E9BD95
该病毒启动C:\WINDOWS\system32\ZDWlan.exe。
修改注册表:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{GO8JH169-8246-9BCE-2347-9BCE13568WMB}
键值改为: hardme.exe
病毒进程成功创建,瑞星的主动防御未拦截。

对于注册表的保护不够全面。

8文件名:XX43.exe      病毒名:Trojan.PSW.Win32.QQPass.elr
进程成功运行,瑞星的主动防御未拦截。


9文件名:14.exe
该病毒启动C:\WINDOWS\system32\conime.exe,通过CMD.EXE在C:\Documents and Settings\LC\Local Settings\Temp\12.tmp释放14.bat,并启动C:\WINDOWS\system32\mshta.exe。命令行为:
mshta vbscript:CreateObject("WScript.Shell").Run("iexplore http://tj.mehoab.com/bb/tj14g7hgfd.htm",0)(window.close)
C:\WINDOWS\system32\mshta.exe又在后台启动了IE进程,使得打开IE首先访问http://tj.mehoab.com/bb/tj14g7hgfd.htm
瑞星的主动防御未拦截。


用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2)
最后编辑瑞星工程师20 最后编辑于 2009-08-21 17:01:05
分享到:
gototop
 

回复: 瑞星杀毒软件2010测试报告【终结篇】


需加强对浏览器的防御。由于时间关系,未能测试对IE浏览器开启应用程序加固后的情况。

10文件名:a2.exe
该病毒修改注册表:
HKLM\SYSTEM\CurrentControlSet\Services\Apcdli
键值改为:\??\C:\WINDOWS\Temp\kzdh@loader-lyrics_2234.dll
启动子级进程:C:\Program Files\Microsoft Office\SYSTEM\sysbar.exe
然后通过CMD.EXE删除C:\PROGRA~1\MICROS~2\SYSTEM\sysbar.exe,并运行C:\WINDOWS\system32\conime.exe。
防火墙拦截了sysbar.exe的联网行为,瑞星的主动防御未拦截。


11文件名:a8.exe
病毒释放一个批处理文件:C:\DOCUME~1\LC\LOCALS~1\Temp\_uninsep.bat
利用CMD.EXE启动C:\WINDOWS\system32\conime.exe并删除自身。
联网行为被防火墙拦截,瑞星的主动防御未拦截。


12文件名:a9.exe
该病毒修改注册表:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
键值改为: \??\C:\Documents and Settings\LC\Application Data\Set8.tmp
                  !\??\C:\Documents and Settings\LC\Application Data\Set8.dll
并挂钩:
进程:
  路径: C:\Documents and Settings\LC\桌面\test1\a9.exe
  PID: 1980
库文件:
  路径: C:\Documents and Settings\LC\Application Data\Set8.dll
挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息).

进程:
  路径: C:\WINDOWS\explorer.exe
  PID: 1952
  信息: Windows Explorer (Microsoft Corporation)
库文件:
  路径: C:\Documents and Settings\LC\Application Data\Set8.dll
挂钩类型:WH_CALLWNDPROC(监控信息·在系统发送它们到目标窗口程序前).

进程:
  路径: C:\WINDOWS\explorer.exe
  PID: 1952
  信息: Windows Explorer (Microsoft Corporation)
库文件:
  路径: C:\Documents and Settings\LC\Application Data\Set8.dll
挂钩类型:WH_GETMESSAGE(监控发送到消息队列的消息)

修改注册表:HKCR\CLSID\{52C8608A-21A6-4978-B377-B276014501DC}\InProcServer32
键值改为:C:\Documents and Settings\LC\Application Data\Set8.dll

但被系统加固和木马行为防御拦截。




13文件名:sb2.exe    病毒名:Trojan.Win32.Generic.11E9CA36
通过C:\WINDOWS\system32\services.exe修改注册表:
HKLM\SYSTEM\CurrentControlSet\Services\xttp6J11x
HKLM\SYSTEM\CurrentControlSet\Services\xttp6J11x\Security
并启动C:\WINDOWS\system32\xttp6J11x.exe。
sb2.exe利用CMD.EXE释放C:\DOCUME~1\LC\LOCALS~1\Temp\_uninsep.bat。
防火墙拦截到xttp6J11x.exe的联网行为,瑞星的木马行为防御未拦截。




注:本人测试了较多病毒,同类型的瑞星能轻松拦截的病毒未写到报告中。
最后编辑DoctorLc 最后编辑于 2009-07-09 12:35:13
gototop
 

回复: 瑞星杀毒软件2010测试报告【终结篇】

瑞星杀毒软件2010VS卡巴斯基反病毒2009
瑞星程序版本:22.00.00.35
病毒库版本:22.03.03.06

卡巴斯基版本8.0.0.50
病毒库更新到最新


资源占用比较

瑞星共占用内存14264KB

卡巴斯基共占用内存46552KB


扫描速度比较
注:引擎设置均为默认。

扫描对象:病毒包(含44个文件)
瑞星耗时58秒,平均每一个文件耗时1.32秒
引擎扫描流量为34.1KB/秒

卡巴斯基耗时78秒,主要由于脱壳耗费了较长时间,平均每一个文件耗时1.77秒
引擎扫描流量为22.7KB/秒

扫描能力比较
注:引擎设置均为默认。

病毒样本总数44个

瑞星查杀剩余文件数5个
查杀率为88.6%
其中启发式扫描引擎未发现可疑文件

卡巴斯基查杀剩余文件数7
查杀率为84.1%
其中启发式扫描引擎未发现可疑文件

主动防御比较
注:采用样本均为“对抗测试”中的样本
1文件名:4.exe
病毒运行后,卡巴斯基的主动防御没有反应。病毒进程成功创建。

不知什么原因,计算机出现死机现象。
所以只能宣布,卡巴斯基的主动防御未拦截。不过,却将我的工具报为可疑程序了。


2文件名:1690.exe
病毒被卡巴斯基的主动防御成功拦截。


3文件名:css.exe
运行后,卡巴斯基的主动防御未拦截。

4文件名:M-Server.exe
运行后,卡巴斯基的主动防御未拦截。

5文件名:QQ2009chs.exe
运行后,卡巴斯基的主动防御未拦截。

6文件名:xx4.exe
运行后,卡巴斯基的主动防御未拦截。

7文件名:lei1116.exe
运行后,卡巴斯基的主动防御未拦截。

8文件名:XX43.exe
运行后,卡巴斯基的主动防御未拦截。

9文件名:14.exe
运行后,卡巴斯基的主动防御未拦截。

10文件名:a2.exe
病毒被卡巴斯基的主动防御成功拦截。





11文件名:a8.exe
运行后,卡巴斯基的主动防御未拦截。

12文件名:sb2.exe
运行后,卡巴斯基的主动防御未拦截。

以下为,所有病毒运行后,进程图:


对比测试总结:
经过与著名反病毒软件--卡巴斯基的比较,我们可喜地看到瑞星的进步。在资源占用,瑞星控制的非常理想,只是虚拟内存占用偏多。在扫描速度上,不能让人满意。全盘扫描所耗费的时间应该再缩短15分钟左右。在查杀能力上,依托云安全平台完全可以与世界一流反病毒软件相提并论。看到卡巴斯基的主动防御测试结果,我都有点不敢相信。竟然这么多病毒,主动防御均不拦截,令我怀疑是病毒样本出问题了?病毒是不是看见卡巴斯基都不敢做坏事了?在主动防御上,瑞星按照自己的思路继续研发下去,一定能赢得更多用户的信赖。
最后编辑DoctorLc 最后编辑于 2009-07-09 14:41:56
gototop
 

回复: 瑞星杀毒软件2010测试报告【终结篇】

今日测试到此结束。

如果以上分析有错误的地方,请多包涵。

对抗测试中,瑞星未拦截的样本在附件内,请工程师下载。


7月5日的测试报告:
http://bbs.ikaka.com/showtopic-8640046.aspx

附件附件:

你的下载权限 1 低于此附件所需权限 255, 你无权查看此附件

最后编辑DoctorLc 最后编辑于 2009-07-09 14:46:11
gototop
 

回复:瑞星杀毒软件2010测试报告【终结篇】

gototop
 

回复:瑞星杀毒软件2010测试报告【终结篇】

工程师来说几句吧~~~~
gototop
 

回复:瑞星杀毒软件2010测试报告【终结篇】

今天瑞工都不知道去忙什么了?
好奇怪哦~惟独万事达和我慢慢聊QQ
gototop
 

回复:瑞星杀毒软件2010测试报告【终结篇】

呵呵,有始有终,有理有力,希望工程师能认真反馈给研发。让我们在ris的测试中看到改进。
gototop
 

回复:瑞星杀毒软件2010测试报告【终结篇】

感谢楼主的测试,楼主的意见和建议,以及相关问题会尽快反馈,请关注瑞星的后续升级版本
gototop
 

回复:瑞星杀毒软件2010测试报告【终结篇】

针对楼主提到的Bug及建议:
1.“不处理”是指发现病毒后不会执行清除病毒的操作,但为了防止用户计算机感染病毒,会阻止这个病毒运行,所以染毒文件无法打开是正常情况;
2.更新界面图标正在修改中,请关注软件升级;
3.设置里不仅仅包含提示与不提示两项内容,还包含了不提示状态下的默认动作设置(杀毒,不处理等),而这些设置内容在您建议的设置方式中是无法体现的,所以很遗憾不能采用您的建议;
4.评分功能我们会考虑加入的;
5.关于病句,正在改进,请关注后续升级,呵呵,楼主观察力很敏锐啊~
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT