金山卫士已经在电脑里呆了一段时间,平时没见动静,今天检查出U盘上的病毒,总算有点反应了。顺便记下一些使用体会。
1、在非管理员权限用户帐户下运行,有些功能会失效,如金山卫士查杀木马的本地V10引擎无法开启
2、实时保护功能不完善
今天一位同事拿U盘过来拷资料,金山卫士检查出U盘中有恶意程序,清除后再检查U盘,发现还是有问题:
(1)未删除病毒用来启动的AUTORUN.inf
AUTORUN.inf的内容为:
[AUTORUN]
Shellexecute=Secret.exe
(2)对伪装成文件夹的木马病毒EXE文件清除不彻底。遗漏了如下2个。
文件说明符 : G:/Recycled.exe
属性 : -SH-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : Hav_online
内部名称 : task
源文件名 : task.exe
创建时间 : 2007-12-23 22:44:34
修改时间 : 2007-12-22 7:50:56
大小 : 112128 字节 109.512 KB
MD5 : 65fee6921df6aedca88f5b569bf1d543
SHA1: 8734BCE69825B21F3573CA94398647BDE49C6EB6
CRC32: 66169b58
文件说明符 : G:/Recycle.exe
属性 : -SH-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : Hav_online
内部名称 : task
源文件名 : task.exe
创建时间 : 2007-12-23 22:44:34
修改时间 : 2007-12-22 7:50:56
大小 : 112128 字节 109.512 KB
MD5 : 65fee6921df6aedca88f5b569bf1d543
SHA1: 8734BCE69825B21F3573CA94398647BDE49C6EB6
CRC32: 66169b58
这应该是比较老的恶意程序了,许多杀毒软件都能检测出来:
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.02.14.02 | 2011.02.14 | Win32/Autorun.worm.112128 |
| AntiVir | 7.11.3.93 | 2011.02.15 | TR/VB.ghs |
| Antiy-AVL | 2.0.3.7 | 2011.02.15 | Trojan/Win32.Agent.gen |
| Avast | 4.8.1351.0 | 2011.02.16 | Win32:Agent-QTR |
| Avast5 | 5.0.677.0 | 2011.02.16 | Win32:Agent-QTR |
| AVG | 10.0.0.1190 | 2011.02.16 | Downloader.Agent2.FUQ |
| BitDefender | 7.2 | 2011.02.16 | Trojan.Generic.1748385 |
| CAT-QuickHeal | 11.00 | 2011.02.15 | TrojanDownloader.Agent.ghs |
| ClamAV | 0.96.4.0 | 2011.02.16 | PUA.Packed.PECompact-1 |
| Commtouch | 5.2.11.5 | 2011.02.15 | W32/Downldr2.BDRF |
| Comodo | 7701 | 2011.02.15 | TrojWare.Win32.VB.ghs0 |
| DrWeb | 5.0.2.03300 | 2011.02.16 | BackDoor.Bulknet.419 |
| Emsisoft | 5.1.0.2 | 2011.02.15 | Virus.Worm.VB!IK |
| eSafe | 7.0.17.0 | 2011.02.15 | Win32.Agent.ghs |
| eTrust-Vet | 36.1.8161 | 2011.02.15 | Win32/SillyFDC.DI |
| F-Prot | 4.6.2.117 | 2011.02.15 | W32/Downldr2.BDRF |
| F-Secure | 9.0.16160.0 | 2011.02.16 | Trojan.Generic.1748385 |
| Fortinet | 4.2.254.0 | 2011.02.16 | - |
| GData | 21 | 2011.02.16 | Trojan.Generic.1748385 |
| Ikarus | T3.1.1.97.0 | 2011.02.15 | Virus.Worm.VB |
| Jiangmin | 13.0.900 | 2011.02.15 | TrojanDownloader.Agent.xly |
| K7AntiVirus | 9.85.3859 | 2011.02.15 | Trojan-Downloader |
| Kaspersky | 7.0.0.125 | 2011.02.16 | Trojan-Downloader.Win32.Agent.btlp |
| McAfee | 5.400.0.1158 | 2011.02.16 | Generic.dx |
| McAfee-GW-Edition | 2010.1C | 2011.02.15 | Heuristic.LooksLike.Win32.Suspicious.J!83 |
| Microsoft | 1.6502 | 2011.02.15 | Worm:Win32/VB.HA |
| NOD32 | 5878 | 2011.02.15 | a variant of Win32/AutoRun.VB.VO |
| Norman | 6.07.03 | 2011.02.15 | W32/Agent.EDBT |
| nProtect | 2011-02-10.01 | 2011.02.15 | Trojan-Downloader/W32.Agent.112128.J |
| Panda | 10.0.3.5 | 2011.02.15 | Trj/KeyLogger.CV |
| PCTools | 7.0.3.5 | 2011.02.16 | Trojan-Downloader.Agent!ct |
| Prevx | 3.0 | 2011.02.16 | High Risk Spyware |
| Rising | 23.45.01.06 | 2011.02.15 | Worm.Win32.VB.qp |
| Sophos | 4.61.0 | 2011.02.15 | Mal/VB-F |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.02.16 | - |
| TheHacker | 6.7.0.1.131 | 2011.02.15 | Trojan/Downloader.Agent.ghs |
| TrendMicro | 9.200.0.1012 | 2011.02.15 | WORM_AUTORUN.QH |
| TrendMicro-HouseCall | 9.200.0.1012 | 2011.02.15 | WORM_AUTORUN.QH |
| VBA32 | 3.12.14.3 | 2011.02.15 | TrojanDownloader.Agent.hor |
| VIPRE | 8433 | 2011.02.16 | Trojan.Win32.Generic.pak!cobra |
| ViRobot | 2011.2.15.4311 | 2011.02.15 | Trojan.Win32.Downloader.112128.C |
| VirusBuster | 13.6.202.1 | 2011.02.15 | Trojan.DL.Agent!5gauyxFgJFU |
如果说查杀是靠特征码,那么有些被清除的木马病毒为何没有病毒木马名?
(3)没有隔离区?被清除的文件没法找回来。
3、下载保护会自动上传扫描结果为未知的文件
我从邮箱下载了一个自己写的程序,金山卫士没检测出什么问题,就自动上传云分析了,也没询问我是否同意。
设置——网盾——下载保护 下的“扫描结果为未知时不再提示,自动提交云安全分析任务”这个选项好像没有作用。没钩也会自动上传。
另外,这个下载保护似乎不检查通过QQ传输的文件。上次有个朋友的电脑就因为不小心打开了通过QQ传过来的病毒文件而中标。详见:
http://blog.csdn.net/Purpleendurer/archive/2011/01/22/6159216.aspx
扫一扫
1388
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
