IT168的实战测试——再次验证“灰鸽子”不是轻易可杀的

查看原文： [url]http://publish.it168.com/2007/0327/20070327044401.shtml[/url]

【IT168 软件评测】这段时间里，到处可见关于灰鸽子的新闻。先是金山宣布灰鸽子爆发，当 天网站遭报复；随后灰鸽子工作室发表声明表示自己无辜，并发布卸载器；21日，灰鸽子工作室宣布关门，至此可算告一段落了。但是，由于灰鸽子的流传广泛，即使官方停止了开发，网络上仍流传不同的变种版本。所以对于普通用户来说，不能放松警惕而导致感染其他的变种。

虽然风头差不多已经过去，但是我们觉得仍然有必要就灰鸽子来检验一下常用安全软件强度如何，以防造成任何的损失。所以我们选择了国内三家，国外三家安全产品来进行一次测试。这六款产品分别是：

软件名称	金山毒霸	瑞星杀毒软件	江民杀毒软件
作者	金山软件	瑞星科技	江民新科技术
下载地址	高速下载	高速下载	高速下载

软件名称	诺顿防病毒软件	NOD32 antivirus	卡巴斯基
作者	赛门铁克	Eset	卡巴斯基实验室
下载地址	高速下载	高速下载	高速下载

测试环境

CPU	Inter Pentium D 2.8
内存	2GB DDR
主板	华硕 P5PL2(945PL)
显卡	Nvidia geForce 7600 GS
系统	Windows xp Pro SP2简体中文

测试系统

全新安装windows XP系统，制作镜像，每测试完一款软件，还原镜像，尽可能的保证系统干净，消除上一款软件所带来的影响。

病毒样本

网络中搜集的54个灰鸽子变种。

测试方法

所有的测试步骤尽量模拟普通用户正常使用流程，分为五步。

1. 将安全软件升级至最新版本，首先对样本压缩包以及解开以后的文件夹进行扫描，测试软件能否在最初就消灭危害。

2. 如果第一步测试中，软件没有完全的清除病毒样本文件，那么在开启安全软件的监控功能后，安装剩余的病毒样本，测试软件时候能阻止掉病毒运行。

3.关闭安全软件所有的功能，裸机状态下，安装全部的病毒样本。重启 电脑，正常进入系统，测试软件时候能够拦截病毒，再进行全面模式扫描 硬盘，重启检测病毒是否完全清理。

4. 如果上一步有残留病毒无法清除掉，进入安全模式，再次进行清除。

5. 使用金山出品的灰鸽子专杀工具再次检测是否还有残留病毒。

我们测试使用的54个病毒变种样本，用灰鸽子专杀工具是完全可以清除掉的，所以我们用它来进行最后的检验。

金山毒霸2007

金山公司是这次灰鸽子事件的主力部队，在测试前就猜测此次测试肯定是毒霸获胜，结果真的如此。对样本压缩包以及文件夹进行扫描，54个样本全部被查到并删除掉，直接消除危害。

感染病毒后，正常进入系统，虽然 CPU占用率100％，但金山毒霸仍然正常工作，可以进行清除。系统中运行的进程部分可以停止掉，重启后仍然发现病毒。

进入安全模式，再使用软件扫描后，用专杀工具检测残留2个病毒文件未清理干净。

瑞星 杀毒2007

瑞星对样本的查杀效果很不理想，扫描样本压缩包和文件后，仅仅杀掉了8个。残留的46个样本，在开启监控的情况全部被软件拦截到。

安装完病毒后，正常启动机器，CPU占用率100％，瑞星运行正常可以进行清除。正在运行的进程没有停止掉，提示重启后删除。重启动后情况依旧，发现病毒提示重启删除。按照流程，我们进入安全模式清除，这时出现问题。系统进不去安全模式！反复测试后仍然是不能进入，只好放弃。回到正常模式，用专杀工具检测残留37个病毒文件。

江民 杀毒 2007

江民杀毒软件扫描样本后，杀掉33个，残留21个样本。开启监控运行样本，全部被拦截，提示操作危险。

运行病毒样本，正常重启 电脑，软件同样可以正常运行，一样的不能完全清除。进入安全模式再次扫描后，专杀工具检测出残留26个病毒文件。

诺顿防病毒2007

诺顿在测试中表现的也是比较惨，首先扫描出11个样本文件。开启监控下，使用SONAR技术的诺顿拦截所有病毒文件的运行。在运行28个样本后，电脑自动重启。进入系统后 CPU占用率100％， 硬盘狂转，耐心等待30分钟后，诺顿仍然没有启动，系统中的其他软件同样打不开，严重影响系统运行。

由于无法进行剩余样本的运行，重新测试，最后运行会自动重启的样本文件，表现一样，系统长时间没有反映。

进入安全模式，诺顿终于可以正常启动清理病毒文件，专杀工具检测最后残留22个病毒文件。

卡巴斯基反病毒软件

卡巴一直以优秀的查杀效果著称，但是这次针对灰鸽子的测试表现一般。扫描样本清除23个文件，运行残留31个样本，监控状态下运行样本，全部拦截。裸机运行全部样本后，可以正常进入系统进行清除，但运行中的进程不能清除。转入安全模式清除后，最后检测还残留42个病毒文件。

NOD32 antivirus

在我们前两次安全产品横测中表现出色的NOD32，同样表现不错，清除掉41个样本。剩余的13个样本，在监控情况下被拦截到。

运行全部样本后，正常进入系统，NOD32的启动速度比无毒状态下启动稍慢，系统其他的软件可以正常使用，监控系统不停报警。进行两次清除后，系统中还残留43个病毒文件。

【IT168评测中心观点】从测试来看，只使用单一的产品是不能完全的清除病毒文件，表现最好的 金山毒霸仍然会残留两个病毒文件。所有产品在正常的运行状态下均能较完美的保护系统安全，正常监控环境下，所有的病毒样本都能被拦截下来，保护系统不被感染。

查杀样本效果上，金山毒霸完胜，NOD32、 江民、 卡巴斯基随后， 诺顿和 瑞星的表现比较差，不过好在各软件的监控都不错。

面对灰鸽子，所有的产品都不能一次性全部搞定，必须要进入安全模式进行二次清理，但也不能完全的清除，再次正常进入系统仍然会不停报警要求重启删除病毒。所以，用户在使用安全产品后也不能放松警惕，没有产品是完美的，不能彻底的保护系统。当流行病毒爆发以后，安全软件可以先阻止病毒，但也可能会有漏网的。用户应该及时的更新病毒库，时刻开启监控功能，防止病毒进一步破坏系统，再下载对应的专杀工具进行一次彻底的检查，来保证系统的安全。