【转贴】能杀70万木马?瑞星没吹牛!
有人说,瑞星说自己的2008版能查杀70万种木马是危言耸听,涉嫌虚假宣传。作为一个好事者,我研究了一下,发现,原来瑞星,没有吹牛!不信,你看我的分析。
首先我们要了解一个概念—— 什么是病毒记录?所谓病毒记录(也叫病毒特征条目、病毒特征串等等)是指查杀病毒所用的指纹特征,目前主流的杀毒软件都是采用指纹特征这种方法对病毒进行识别,并且很多情况下一条记录可以查到同一家族病毒的多个变种。比如,我们在最近添加的一个叫做的Trojan.PSW.Win32.OnlineGames.Gen的记录,就可以查杀1300多个不同(MD5值不同)的病毒样本。
看下面的示意图可以比较清晰地看到病毒记录数和病毒之间的对应关系。
统计了一下瑞星从2000年开始添加的病毒记录数,我们可以看到近几年木马病毒的发展趋势。从2000年1月1日到2004年12月31日,瑞星杀毒软件病毒特种库中的新增木马记录条目数只有22609条。2005年上半年新增18638条,2005下半年新增21514条;2006年上半年新增52053条,06年下半年新增86659条;07年上半年新增80036条,07年下半年新增124831条。
从图上可以看出,除了2007年上半年新增木马记录数有少量下降外,其它时间是呈现一个递增趋势,基本也能反应出目前木马病毒的发展趋势。(分析2007年上半年数量减少可能有两个原因:一、受熊猫烧香病毒的影响,一些木马病毒编写者有所收敛;二、由于瑞星在2007版中增加了虚拟机脱壳引擎,使以前需要不同记录查杀的病毒变形、加密加壳变种可以通过一条记录进行查杀。)
根据目前的统计,从2000年到2007年,木马的记录数已经超过了40万(随着引擎的优化和Generic库的建立,记录数可能会有所变化)。前面也说明了,有时杀毒软件的一条记录可以查杀一个家族病毒的多个不同变种。从我们近期的样本收集情况看,木马病毒的数量仍然呈爆炸式增长,而现在瑞星2008版能够查杀的木马数早已超过70万了。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
