1   1  /  1  页   跳转

[使用交流] 【转帖】四款软件挂马网站拦截功能横向测试

【转帖】四款软件挂马网站拦截功能横向测试

转载自卡饭

本次测试一共有83个恶意网站,参加测试软件有卡巴斯基2009、NOD32最新版本、360安全卫士、瑞星2009版全功能安全软件RIS。

通过大量测试截图,可以清楚的看出,在挂马网站拦截方面,瑞星的进步明显。在此之前瑞星在防范挂马方面一直没有突破,但这次的测试结果还是比较乐观的。目前RIS处于测试阶段,也期待正式版出来后能又跟大的突破。




测试结果:
卡巴斯基2009共发现恶意网站:12
NOD32共发现恶意网站:16
360安全卫士共发现恶意网站:46 误报1个
瑞星2009版全功能安全软件RIS共发现恶意网站:82误报1个



测试分析:

卡巴斯基2009及NOD32可归为一类,主要使用传统的网页代码特征查杀技术,查出率较低,暂时无法应对现在的挂马网站。

传统杀毒软件都是采用这种方式,优点是技术门槛低、系统稳定。但是缺点也是显而易见的,那就是对于漏洞方式或脚本加密、变形毫无效果。所以发现的恶意网站极少,无法遏制这种最主流的病毒传播方式。



360安全卫士,采用了欺骗性的网站域名进行识别,表面上看起来查出率比较高,但是存在大量误报,使得查处结果较不可信。

从数量上看,比卡巴2009和NOD32要多不少,但实际情况是恶意网站域名进行识别-网址过滤,和他的文件名查毒如出一辙。采用这种方式,如果网站域名关键字在恶意库中就判定为恶意网站,即使以后该网站解决了挂马问题,仍会被报为恶意网站。并且,以www.abcdefg.com.cn为例,该网站被360判断为恶意网站,其识别的关键字是“abcdefg,该网站的所有其他页面都会被报做是恶意网站,误报率很高。本次测试就发现了很多这样的问题,因此虽然能报出恶意网址,但是较不可信。



瑞星全功能安全软件RIS,查出率很可观,测试公告称其试用“网页脚本智能行为检测技术”,但不能肯定这个技术所指。



83个网址,瑞星报出82个,其中有一个xxx网站瑞星报出为恶意网站,从代码分析看可能不是恶意网站,估计是网址过滤功能在起作用。不过即便如此测试情况也相当强悍。

笔者在测试中进行了大量变形、加密的实验,发现瑞星RIS都能够将其拦截掉,有很好的效果。卡卡论坛中的解释是:这个检测技术,可以检测网页中的所有脚本,恶意程序和恶意代码,无论网页的恶意代码是如何多层加密或者正逆向变形变异,对于采取智能行为监控的RIS面前都是无用的。
分享到:
gototop
 

回复: 【转帖】四款软件挂马网站拦截功能横向测试

具体测试列表:以下网站均为恶意网站,可能包含不健康内容,请谨慎打开,18岁以下人士禁止访问,否则后果自负。全部恶意网站列表见附件。


http://www.tchtn.net/w/1.htm
http://ads.vk987.info/office.htm
http://zlwrnm10.cn/a54/Thunder.html
http://zlwrnm10.cn/a54/Ms06014.htm
http://www.bbsmm.net/MUMUMUMA1/mi.htm
http://1.xxx123.com/w/xx.htm
http://zlwrnm10.cn/a64/Thunder.html
http://www.qqaz1.cn/ox.htm



附件:(见测试列表)

附件附件:

下载次数:1348
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-17 11:29:44
描述:rar

gototop
 

回复: 【转帖】四款软件挂马网站拦截功能横向测试

测试截图:
http://www.tchtn.net/w/1.htm网站中存在恶意病毒
NOD32发现该网站会自动下载病毒文件,在文件下载过程进行拦截



卡巴斯基2009发现该网站会自动下载病毒文件,在文件下载过程进行拦截



RIS提示已经阻止网页中的恶意脚本,并且把进程和利用的漏洞对象显示出来,出现提示的同时已经将危险阻止了,不需要手工操作。
gototop
 

回复: 【转帖】四款软件挂马网站拦截功能横向测试

http://www.bbsmm.net/MUMUMUMA1/cx.htm --此网页代码为加密代码。
NOD32、卡巴09、360均未提示存在异常。

RIS提示已经清除该网页的脚本病毒,并且把进程和病毒名称显示出来,经过分析该网页代码为加密过的代码,其他软件无法对加密的恶意代码进行判定。



http://gggggttt.cn/10/14.htm http://gggggttt.cn/1/lz.htm
NOD32和卡巴2009未提示网页存在异常。

360提示网站可能存在不安全因素,是完全通过网页域名进行判断的,而且更新不及时,后者目前已经无法访问了,但360的提示仍存在。


gototop
 

回复: 【转帖】四款软件挂马网站拦截功能横向测试

RIS提示已经清除该网页的脚本病毒,并且把进程和病毒名称显示出来,出现提示的同时已经将脚本病毒清除了,不需要手工操作。


gototop
 

回复:【转帖】四款软件挂马网站拦截功能横向测试

就卡饭的评测来看,瑞星09挂马网站拦截做的不错
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT