瑞星杀毒软件2010测试报告（7月5日）

测试环境：
操作系统：Winodws XP SP3(虚拟机)
内存：256MB
浏览器版本：IE6.0
瑞星软件版本：22.00.00.30
病毒库版本：22.02.05.25
瑞星与1.22版的冰刃依旧无法兼容。请尽快解决吧。难道一直要用1.20版的?



测试内容：
一主动防御测试
设置：关闭文件监控，其余设置为默认
1文件名：0.exe
瑞星主动防御能轻松拦截该病毒。但木马行为防御的对话框弹出的次数还是控制的不理想。为何内容完全相同的对话框要弹出三四次？是想考验用户的鼠标吗？请工程师改进。





2文件名：0dysc.exe
运行该病毒后，释放fengsu_wwweee_540.exe，然后删除自身。
修改注册表：
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE
将原值http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome替换为http://www.9234.net/
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\风速影视
添加启动项：C:\Program Files\FengSu\FSProcess.exe
该病毒还自动安装了QVOD.EXE。
卸载风速影视后，FSProcess.exe未退出。
风速影视是一款非法含xxx内容的播放器。







3文件名：1(1).exe
运行该病毒后，通过C:\WINDOWS\system32\regsvr32.exe注册scrrun.dll和msvbvm60.dll这两个DLL文件。
分别对应的注册表键值是：
HKCR\CLSID\{EE09B103-97E0-11CF-978F-00A02463E06F}\InprocServer32
HKCR\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\InprocServer32其间，计算机出现狂读软盘驱动的现象。
然后在C:\Documents and Settings\LC\Local Settings\Temp目录中释放s.exe。
通过运行C:\WINDOWS\system32\services.exe来修改注册表：
HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc并启动C:\WINDOWS\system32\odbcasvc.exe。
这个odbcasvc.exe立马修改注册表：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
将原值：
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
修改为：
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
最后，在odbcasvc.exe创建启动项时，被瑞星的主动防御抓住。
但服务已经被创建。






补充：由于失误，在实机中运行了该病毒。由于当时监控处于完全关闭，因此已经感染病毒。重启后，主动防御可以拦截该病毒的行为。但是无法阻止对软盘驱动的狂读现象，该现象持续5-10秒，每次开机要是都这样，估计软盘驱动就得坏了。

4文件名：1(3).exe
运行该病毒后，该病毒首先运行了C:\WINDOWS\system32\ntvdm.exe。接着调用CMD.EXE删除自身，进程退出。
瑞星主动防御没有拦截。

5文件名：2(2).exe
运行后，该病毒在 C:\Documents and Settings\LC\Local Settings\Temp目录释放235.exe。
235.exe修改注册表：
HKCR\CLSID\{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}\InprocServer32
赋予新值：C:\WINDOWS\AMD\google.dll
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
??\C:\DOCUME~1\LC\LOCALS~1\Temp\235.exe
瑞星主动防御未拦截

6文件名：4(2).exe
运行后，该病毒首先在C:\Documents and Settings\LC\Local Settings\Temp释放104.exe。
104.exe然后再修改注册表：
HKCR\CLSID\{296AB8C6-FB22-4D17-8834-064E2BA0A6F0}\InprocServer32
赋予新值：
C:\WINDOWS\Intel\baiduc.dllHKLM\SYSTEM\CurrentControlSet\Control\Session Manager
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\104.exe
瑞星主动防御未拦截。

7文件名：5.exe
运行后，病毒修改注册表：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
\??\C:\WINDOWS\35M.DLL555888
然后再释放并启动C:\WINDOWS\35M.exe，该动作被瑞星拦截。
病毒最后尝试调用CMD.EXE删除自身。



8文件名：6(2).exe；7(1).exe
运行后，病毒修改注册表：
在"C:\WINDOWS\system32\regsvr32.exe"后添加 "C:\Program Files\Common Files\PushWare\cpush.dll"
瑞星主动防御未拦截，病毒进程退出。

9文件名：9(1).exe
运行后，病毒修改注册表：
在"C:\WINDOWS\system32\regsvr32.exe" 后添加"C:\Program Files\Internet Explorer\IETimber\IETimber.dll"
C:\WINDOWS\system32\regsvr32.exe对底层磁盘读取：
磁盘设备：
\??\PhysicalDrive0
\??\PhysicalDrive1
\??\PhysicalDrive2
\??\PhysicalDrive3
瑞星主动防御未拦截。

10文件名：11(1).exe
运行后，该病毒首先利用CMD结束wuauclt.exe。
然后，就被瑞星主动防御拦截。


11文件名：21.exe
运行后，病毒启动C:\WINDOWS\system32\ntsd.exe。
但被瑞星主动防御拦截。



12文件名：22(1).exe
运行后，病毒修改注册表：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\??\C:\WINDOWS\system32\mshtml.dll.bak
然后病毒利用CMD.EXE来删除自身。
瑞星主动防御未拦截。

13文件名：23.exe
运行后，病毒修改注册表：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
\??\C:\WINDOWS\35C.DLL555888
病毒释放并启动C:\WINDOWS\35C.exe，该步被瑞星拦截。
最后病毒调用CMD.EXE删除自身。

相关文件是否有漏报呢？

14文件名：24.exe
运行后，病毒即刻删除自身。
瑞星主动防御未拦截到任何动作，但引擎判定为该文件为病毒。

15文件名：31.exe
运行后，病毒修改注册表：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
\??\C:\Documents and Settings\LC\Application Data\Spy009.tmp
\??\C:\Documents and Settings\LC\Application Data\Spy009.dll
病毒调用通过安装全局系统钩子注入DLL文件spy009.dll至所有运行中的程序。
挂钩类型：WH_GETMESSAGE和WH_CALLWNDPROC
然后，病毒再次修改注册表：
HKCR\CLSID\{C8417122-386F-48C7-8900-C82E4694FEBC}\InProcServer32
赋予新值：
C:\Documents and Settings\LC\Application Data\Spy009.dll
此步被瑞星拦截。



16文件名：31(1).exe
运行后，病毒启动C:\WINDOWS\system32\rundll32.exe，对C:\WINDOWS\system32\sfc.exe进行操作。
然后删除自身。
瑞星主动防御未拦截。

17文件名：32_0.exe
运行后，病毒进程成功创建。
瑞星主动防御没有反应。


18文件名：38.exe
运行后，病毒在后台启动了IE浏览器。通过 C:\Program Files\Internet Explorer\IEXPLORE.EXE访问磁盘设备：
\??\PhysicalDrive0
\??\PhysicalDrive1
\??\PhysicalDrive2
\??\PhysicalDrive3
再调用 C:\WINDOWS\system32\regsvr32.exe注册C:\Program Files\Common Files\PushWare\cpush0.dll。
瑞星主动防御未拦截。





19文件名：50.exe
引擎报毒，主动防御不拦截。

20文件名：51.exe
运行后，病毒修改注册表：
将原值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
替换为新值：
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp\Au_.exe
\??\C:\DOCUME~1\LC\LOCALS~1\Temp\~nsu.tmp
\??\C:\Documents and Settings\LC\Application Data\Spy009.
然后被瑞星主动防御拦截。





21文件名：88.exe
运行后，病毒利用 C:\WINDOWS\system32\sc.exe释放驱动文件C:\WINDOWS\system32\drivers\npf.sys 。
并且启动了C:\WINDOWS\system32\360box.exe。
利用C:\WINDOWS\system32\services.exe将驱动注册为服务。
瑞星主动防御未拦截。


用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2)

22文件名：99.exe
病毒进程成功创建，瑞星主动防御未拦截。


23文件名：111.exe
病毒运行后修改注册表启动项：
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
被主动防御拦截。




二与其他国际一流产品比较
参加产品：


资源占用比较：

瑞星杀毒软件2010+瑞星防火墙2010：
内存占用：35496KB


ESET NOD32 网络安全套装：
内存占用：43308KB





熊猫全功能软件2010：
内存占用：28368KB

在流畅性方面，虽然熊猫的内存占用是三者当中最少的，但实际的感受却是非常卡。而瑞星与ESS在流畅性方面接近。


查杀速率比较：
分别将三款杀毒软件更新到最新，并对同一病毒包进行扫描。
瑞星扫描用时：180秒
ESS扫描用时：154秒
熊猫扫描用时：127秒

在查杀速率方面，瑞星确实与其他两款产品有差距。熊猫的引擎不愧为极速引擎，查杀速率快得惊人。如果将查杀对象放大，估计瑞星与其他两款产品的差距还将被拉大。希望瑞星工程师们对引擎的查杀速率做持续改进。


查杀精确度比较：
病毒包内共有文件246个
瑞星扫描完毕后剩余19个，其中没有启发式引擎扫描出可疑文件。
ESS扫描完毕后剩余52个，其中启发式引擎扫描出29个可疑文件。
熊猫扫描完毕后剩余8个，其中启发式引擎扫描出4个可疑文件。

在云安全方面，熊猫是瑞星的前辈，而ESS很早就具有了ThreatSense.Net系统（类似于云安全系统）。但从查杀结果来看，ESS在病毒样本搜集方面有点弱，当然本次测试可能存在偶然性。不过，熊猫的样本收集能力毋庸置疑，新设计的云安全版杀毒软件更凭借着免费的噱头，继续提高熊猫的样本收集能力。在启发式引擎方面，瑞星与其他两款软件的差距非常大。希望瑞星努力赶上。


用户界面及人性化比较：
瑞星的界面就不发图了。个人不太满意目前的界面结构。去年提的建议也没有被采用。论坛里也有部分网友对2010版沿袭2009版界面的抱怨。

ESS的界面相对于上一个版本有较大改进，这是公司创新精神的体现。目前的界面简洁大气。并且ESS还对系统更新进行跟踪，提高系统安全性，这方面瑞星没有进行跟踪。





熊猫的界面与上一版本比较变化不大，而2009版的界面与2008版的界面变化非常大。熊猫公司的创新能力一直是令人比较欣赏的。同样，熊猫也对目前计算机的安全状态有个监控，如果某处出现问题，可以点击“修复”来修复问题。



ESS中有一个可疑文件提交，相对于瑞星的可疑文件提交，ESS的就显得比较简单，但是比瑞星的清楚，阅读起来更方便。



更新完毕后，ESS会弹出一个对话框，该对话框呈矩形，小巧而精致，为淡入淡出效果，非常漂亮！而反观瑞星的更新提示，只能用简陋这个词来形容了。




ESS也有流量图，瑞星防火墙也有流量图。两者放到一起比较一下，就会发现ESS的图整洁，便于阅读。


扫描界面，ESS是独立出来的。依旧是非常的简洁。


当计算机存在隐藏的威胁时，ESS有个温馨提示。



熊猫有个饼状统计图。统计的内容比瑞星丰富。


在防火墙方面，熊猫的界面过于简单。相比之下，瑞星的防火墙做的详细周到。


熊猫有个自我检查。可以对目前的安全状态进行评价。如果发现问题，会弹出对话框体现用户。该功能需要手动启动。瑞星和ESS无此功能。



熊猫也是采用独立的扫描界面。目前，国际领先的杀毒软件基本上都是在用独立的扫描界面。不知瑞星何时修改。

总结：
仅靠西海岸实验室全部的六项认证（大满贯），就宣称“瑞星高品质媲美世界顶尖产品”。这样的做法，莫非瑞星又想走老路了？个人认为，反病毒公司还是低调点比较好。产品是靠用户的口碑来宣传的，而不是自吹自擂。虽然，瑞星的查杀能力随着云安全平台的搭建突飞猛进，但是想成为世界顶尖产品，在许多方面，如引擎的查杀速度，启发式引擎的灵敏度，用户界面的创新，人性化的服务，资源占用的控制等等方面仍需花出大力气。



今天的测试到此为止。真是累死我了。。。电脑屏幕盯了一下午，眼睛都看花了。。。
希望瑞星能够继续努力！


本人水平有限，加上测试花费的时间较长，难免发生错误。如果发现错误，望多多包涵。


上文提及到的拦截失败的病毒样本及冰刃导致的蓝屏文件都在附件中。



6月28日测试报告：
http://bbs.ikaka.com/showtopic-8637273.aspx

貌似是停了好久


上几天和同学出去玩了，没时间测试瑞星




每次测试完，都头昏脑胀的



好痛苦啊~

看来楼上和我有同感啊！

工程师收集完就请留个名~

UP!

您的这句话，我期盼了好久~