12   1  /  2  页   跳转

[RAV] 测试2010查杀未知病毒报告之四

收藏
云中松
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2009-06-09
  • 来自:山西
发表于: 2009-07-16 20:40 | 只看楼主 短消息 资料
字号: 1楼

测试2010查杀未知病毒报告之四

    7月9日,我又上报了2009年7月的最新病毒样本文件包,来测试2010查杀未知病毒的能力。还是老办法,先用2010查杀掉能识别且能清除的病毒,然后把2010当时版本未报毒而我确知仍含有病毒的剩余样本文件(共40个)上报。我在14:06分以后上报,在15:03就查询到40个文件的分析结果。分析结果见图一的截屏:





                            图一

    从图一可以看出,共分析到8个病毒文件,历时不到1小时。可见,瑞星云安全分析处理未知病毒样本的及时性已经突破了“最快1小时”的承诺。很棒!
    但是把杀软升级到病毒的解决版本号后,来查杀上报的样本文件时,还是发现了不少问题。现把查杀过程及发现的问题报告如下:
    升级杀软后,进行第一次查杀,查杀到三个样本文件中的病毒,但是这次查杀到的病毒文件:样本(29).exe中的病毒Trojan.DL.Win32.Downloader.GEN与瑞星云安全分析到的此文件中含的病毒Trojan.Win32.Generic.51E9B91D不一样。查杀结果见图二的截屏:



                            图二

    图中显示一个删除成功,一个不处理,一个仍按可疑文件(此文件瑞星云安全已诊断为病毒文件)对待,已上报“云”。那就手动清除吧。清除成功后,再来查杀,结果发现:上次查杀到的样本(29).exe中的病毒仍然存在。查杀结果见图三的截屏:



                      图三


    到此为止,瑞星分析诊断到的8个病毒用2010查到3个(暂时把这次查杀到的样本文件:样本(29).exe中的病毒看作与瑞星云安全分析到的病毒为同一病毒计算),杀掉其中两个,其中手动清除样本(29).exe中的病毒后,杀毒结果显示删除成功,可再次查杀又查杀到了,仍是已上报“云”。信息显示前后矛盾。
    随着杀软的升级,我把杀软升级到22.00.00.38,再来查杀,结果又查杀掉三个病毒文件中的病毒,包括上面提到的清除不掉的病毒文件:样本(29).exe中的病毒Trojan.Win32.Generic.11E9B91D,但发现这次成功清除的该文件中的病毒与上次查杀到的该文件中的病毒不一样,但这次清除的病毒正是瑞星云安全分析诊断到的病毒Trojan.Win32.Generic.51E9B91D的变种,其实是同一病毒,由此推测,可能这个文件中同时带着两个病毒,让人疑惑。查杀结果见图四的截屏:



                  图四

    到此为止,用2010共查杀清除掉瑞星云安全分析出的8个病毒文件中的5个病毒,还有3个病毒查杀不到。不解之余,我突然想到用瑞星2009来查杀,看能否查杀掉。于是,我在7月14日重装瑞星2009并升级到最新版来全盘查杀。结果查杀到3个病毒。瑞星2009版本及查杀结果见图五的截屏:





                            图五

    需要说明的是,其中有一个病毒是6月29日上报的样本文件yangen(194).exe中的病毒Trojan.Win32.Nodef.jcx。没想到这个之前用2010查杀不到的病毒竟用2009成功清除了,有点意外。(关于这个病毒在“测试2010查杀未知病毒报告之三http://bbs.ikaka.com/showtopic-8640946.aspx”中交代过。)另两个病毒是我7月9日上报的瑞星云安全已诊断到的病毒文件中的病毒。但再次用2009查杀时发现,病毒文件setup.exe中的病毒仍然存在,杀毒结果显示文件被删除,但下次仍能查杀到,令人不解。查杀结果见图六的截屏:



                              图六

    用瑞星2009查杀后,我又重装2010来查杀7月9日上报的样本文件中瑞星已分析诊断到的病毒,结果到今天(7.16)查杀时为止,还没有查杀到样本文件uxpay.exe中的病毒Trojan.Spy.Win32.Undef.qz和用瑞星2009查到但没成功清除的病毒文件setup.exe中的病毒Trojan.Win32.StartPage.mpj。今天的查杀结果见图七的截屏:



                                  图七

    所以,到7月16日为止,瑞星分析到我上报的样本文件中的病毒还有一个没有被查杀到,详见图八的截屏。还有一个用2009不能彻底清除。详见图八蓝色框:



                图八

    另外,今天再次查询结果时,发现一个样本文件几天前被诊断为病毒文件(见图一的截屏中第一个病毒文件),现在又诊断为安全文件了。不知道是什么原因,顺便反映一下。关于这一文件今天查询到的诊断结果,见下面图九截屏中的红色框内的结论:



                              图九











用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA)
最后编辑云中松 最后编辑于 2009-07-16 23:54:18

        因为大家的支持,瑞星会做得更好!
分享到:
gototop
 
萧嗨
头像
在线工程师
  • 帖子:429
  • 注册: 2009-06-27
  • 来自:
发表于: 2009-07-16 20:56 | 短消息 资料
字号: 2楼

回复:测试2010查杀未知病毒报告之四

感谢楼主的用心测试,辛苦了 信息已收集并会尽快反馈到相关部门,如果可以请附上病毒样本
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-07-16 21:24 | 短消息 资料
字号: 3楼

回复: 测试2010查杀未知病毒报告之四

有点乱    楼主能不能总结一下测试出瑞星有那些问题............
gototop
 
云中松
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2009-06-09
  • 来自:山西
发表于: 2009-07-17 15:06 | 只看楼主 短消息 资料
字号: 4楼

回复: 测试2010查杀未知病毒报告之四



引用:
原帖由 萧嗨 于 2009-7-16 20:56:00 发表
感谢楼主的用心测试,辛苦了 信息已收集并会尽快反馈到相关部门,如果可以请附上病毒样本


        谢谢工程师的关注与肯定。
        我现在把7月9日提交的后来用瑞星2010和2009查杀过的样本文件附在下面:
最后编辑云中松 最后编辑于 2009-07-17 15:15:24

        因为大家的支持,瑞星会做得更好!
gototop
 
神龙没尾
头像
在线工程师
  • 帖子:639
  • 注册: 2007-08-21
  • 来自:
发表于: 2009-07-17 15:13 | 短消息 资料
字号: 5楼

回复:测试2010查杀未知病毒报告之四

感谢您的持续参与,附件没有看到
能否重新上传一下?
gototop
 
云中松
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2009-06-09
  • 来自:山西
发表于: 2009-07-17 15:24 | 只看楼主 短消息 资料
字号: 6楼

回复: 测试2010查杀未知病毒报告之四



引用:
原帖由 神龙没尾 于 2009-7-17 15:13:00 发表
感谢您的持续参与,附件没有看到
能否重新上传一下?


对不起,是上传失败。我再传一次:

        因为大家的支持,瑞星会做得更好!
gototop
 
云中松
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2009-06-09
  • 来自:山西
发表于: 2009-07-17 15:29 | 只看楼主 短消息 资料
字号: 7楼

回复: 测试2010查杀未知病毒报告之四



引用:
原帖由 神龙没尾 于 2009-7-17 15:13:00 发表
感谢您的持续参与,附件没有看到
能否重新上传一下?

      对不起,是上传失败。附件超过了规定的字节数。
最后编辑云中松 最后编辑于 2009-07-17 15:33:53

        因为大家的支持,瑞星会做得更好!
gototop
 
神龙没尾
头像
在线工程师
  • 帖子:639
  • 注册: 2007-08-21
  • 来自:
发表于: 2009-07-17 16:33 | 短消息 资料
字号: 8楼

回复:测试2010查杀未知病毒报告之四

单个附件允许最大2M,楼主能否拆分上传?或者上传到网盘,把地址贴过来。
gototop
 
云中松
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2009-06-09
  • 来自:山西
发表于: 2009-07-17 21:03 | 只看楼主 短消息 资料
字号: 9楼

回复: 测试2010查杀未知病毒报告之四



引用:
原帖由 神龙没尾 于 2009-7-17 16:33:00 发表
单个附件允许最大2M,楼主能否拆分上传?或者上传到网盘,把地址贴过来。


        对不起,让您久等了。我给上传到网盘了。链接地址 http://pickup.mofile.com/1267570125099907
最后编辑云中松 最后编辑于 2009-07-17 21:14:01

        因为大家的支持,瑞星会做得更好!
gototop
 
云中松
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2009-06-09
  • 来自:山西
发表于: 2009-07-18 17:01 | 只看楼主 短消息 资料
字号: 10楼

回复: 测试2010查杀未知病毒报告之四



引用:
原帖由 云中松 于 2009-7-17 21:03:00 发表


引用:
原帖由 神龙没尾 于 2009-7-17 16:33:00 发表
单个附件允许最大2M,楼主能否拆分上传?或者上传到网盘,把地址贴过来。


        对不起,让您久等了。我给上传到网盘了。链接地址 [url=http://pickup.mofile.com/1267570125099907]http://pickup.mofile.co




        各位工程师好。我昨天给上传到网盘的样本,你们接收到了吗  请回个信儿。

        因为大家的支持,瑞星会做得更好!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT