本帖最后由 idayong 于 2018-9-21 21:57 编辑
昨天看到360推送的紫狐木马http://www.360.cn/n/10386.html 里面提供了样本,这次正好来测一下“带毒环境”各家主流杀软的查杀能力(此前评测大都为引擎检出率的测试)
主要选出5款大家常用的杀软进行测试:(均升级到2018/09/21病毒库,使用“快速扫描”模式进行查杀测试)
系统环境:Windows7 x64 SP1(MSDN)
本想在虚拟机中进行测试,但木马检测虚拟机环境,最终使用HP 笔记本进行测试
1.jpg (27.86 KB, 下载次数: 5)
2018-9-21 21:53 上传
Ø 360安全卫士11.6(11.6.0.1001l)
Ø 腾讯电脑管家13(13.0.19773.211)
Ø 火绒安全软件4.0(4.0.71.11)
Ø 金山毒霸11(11.2018.3.8.092000.1335)
Ø 卡巴斯基免费版(18.0.0.405(f))
原贴中的木马行为分析图:
2.jpg (45.7 KB, 下载次数: 2)
2018-9-21 21:53 上传
中毒现象:
中毒后木马会注入System、挂钩FSD和创建CteateThread回调,总体看伪装的比较好(原贴提到会推广安装“快图软件”,但本次测试过程没有出现推广行为,可能木马有潜伏期或是云控推广)
3.jpg (64.52 KB, 下载次数: 4)
2018-9-21 21:53 上传
4.jpg (204.97 KB, 下载次数: 150)
2018-9-21 21:53 上传
5.jpg (203.6 KB, 下载次数: 3)
2018-9-21 21:54 上传
一、360安全卫士
1. “木马查杀”检出Rootkit.Win32.HPLocker.87木马,从病毒名看是Rootkit类木马
6.jpg (53.69 KB, 下载次数: 3)
2018-9-21 21:54 上传
2. 点击“一键处理”后会自动使用“强力模式”查杀,期间会重启2次,在第二次重启后清除了2个木马文件
7.png (322.5 KB, 下载次数: 3)
2018-9-21 21:43 上传
二、腾讯电脑管家
“闪电杀毒”未检出感染紫狐木马
8.jpg (121.65 KB, 下载次数: 4)
2018-9-21 21:47 上传
三、火绒安全软件
“病毒查杀”未检出感染紫狐木马
9.jpg (119.7 KB, 下载次数: 1)
2018-9-21 21:47 上传
四、金山毒霸
“闪电查杀”未检出存在木马
10.jpg (139.74 KB, 下载次数: 4)
2018-9-21 21:47 上传
五、卡巴斯基 免费版
1. 可以直接检测到内存中活跃木马,并引导重启删除
11.jpg (134.09 KB, 下载次数: 4)
2018-9-21 21:47 上传
2. 重启1次后自动使用“高级清除”方式成功删除2个木马文件
12.png (116.66 KB, 下载次数: 4)
2018-9-21 21:43 上传
总结:
13.jpg (14.39 KB, 下载次数: 1)
2018-9-21 21:43 上传
因为是360发布的报告,支持查杀符合预期,但360查杀过程繁琐,需要重启2次才能清除木马;
卡巴斯基依旧强大,重启1次完美查杀;
火绒、腾讯电脑管家、金山毒霸等3款杀软未检出该木马。