我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: 木马杀客——又是一个“智慧星” 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

a-bomb



性别: 帅哥 状态: 该用户目前不在线
头衔: ‖四∷大∷淫∷魔∷之∷首‖
等级: 人见人爱
发贴: 3076
威望: 2
浮云: 1747
在线等级:
注册时间: 2004-03-31
最后登陆: 2015-06-12

5come5帮你背单词 [ foresee /fo:'si:/ vt. 预见,预料到 ]


木马杀客——又是一个“智慧星”

相信大家对此前出现的“智慧星”还没有忘记吧。前段时间,寝室一个同学的电脑中了木马,他去5come5下了一个叫做“木马杀客”东西来用,好像是查出了几个木马。
  今天,我突然心血来潮,也用木马杀客来杀一下我的电脑,但是那个软件的“做工”确实让我不敢恭维,先不管UI好不好看,能不能杀马才是关键。查了一下C盘,很快就查完了,那个速度让我觉得是不是太快了点。结果果然没有找到木马,我还是对我的系统还是挺放心的。
  那我是不是给他“造”一个木马来杀一下呢?我当然还没有本事写一个木马出来。根据“智慧星”的思路,我在“木马杀客”的目录下找“木马特征库”,没有找到,让我失望了。不行,怎么我也要给他造几个木马出来,记得木马名一直都有隐蔽的特征,也就是说,它和一个常见的系统进程有很相近或相同的文件名,有的把字母“l”换成数字“1”,有的把字母“o”换成数字“0”,按照这个思路,我做了以下测试:

  测试1、在桌面上新建一个文档,并改名为:explorer.exe,注意哦,这个名字是和系统的 explorer 的名字是一样的。好,现在用“木马杀客”来查一下。诶,果然发现了一个木马:
Quote:

系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:C:\Documents and Settings\zy\桌面\explorer.exe
处理方式:隔离 成功


  嗯。。。。这个。。。。好,先不来评价,我们继续测试。

  测试2、在桌面上新建一个文档,并改名为:expl0rer.exe,注意,中间是数字“0”哦。查杀结果:
Quote:

系统事件:已发现木马!
木马名称:PWSteal.Trojan.2410
木马路径:C:\Documents and Settings\zy\桌面\expl0rer.exe
处理方式:隔离 成功
C:\Documents and Settings\zy\桌面\expl0rer.exe


  测试3、在桌面上新建一个文档,并改名为:exp1orer.exe,注意,中间是数字“1”哦。查杀结果:
Quote:

系统事件:已发现木马!
木马名称:传奇木马001.280
木马路径:C:\Documents and Settings\zy\桌面\exp1orer.exe
处理方式:隔离 成功
C:\Documents and Settings\zy\桌面\exp1orer.exe


  通过上面三个测试,我们可以看到,“木马杀客”确实是通过判断文件名来确定文件是否为木马。但是,我不知道他为什么不删除,而只是“隔离”。而且,“木马杀客”的隔离只是简单的采用了在文件名后面加“_被屏蔽木马”字段来“隔离”的。So naive。。。。。。

  既然可以把空白的文件识别为木马,它会不会把自己的文件识别为木马呢?开始行动:

  测试4、从“木马杀客”的目录里把它的主程序“mmsk.exe”拷贝到桌面,改名为explorer.exe,查杀,结果没有发现木马。
  我对这么一个结果还是相当欣慰的,至少它还可以判断一下是不是它自己的文件。脑壳一转,又想到一个法子。

  测试5、把以前自己做的一个叫做SetTop.exe的文件复制到桌面上,改名为explorer.exe,查杀,结果和我预期的不同,它没有被判断为木马。
  这就奇怪了,为什么空文件就可以判断为木马,而真正的或执行文件就不能判断为木马呢?那把文件长度非零的文本文档改为explorer.exe会不会同样不被判断为木马呢?

  测试6、在桌面上新建文本文档,随便在里面填写几个字母,改名为explorer.exe,查杀,结果又和我的预期不同,它被判断成了木马:
Quote:

系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:C:\Documents and Settings\zy\桌面\explorer.exe
处理方式:隔离 成功
发现日期:2006年10月5日

  怎么回事?我觉得“木马杀客”的判断条件应该和文件大小有关系,具体是什么样的关系,我却不得而知。
  我不如去找点真的木马来试一下,以前收藏的木马病毒样本被删了,把同学的U盘拿来,也没有找到病毒,没有办法,只有自己去网上找了。找到一个“中国病毒联盟”提供的病毒测试包(下载地址:http://www.zhyedu.com/upuserfile/virus-2005-test.rar),里面共有25个病毒样本,它们的编号是从1到25的整型。用卡巴6查了一下,共找到20个病毒,也就是说卡巴6漏杀了5个病毒,于是我开始怀疑卡巴6的性能,确实有点恼火,不过,这都是题外话了,说正题。继续测试:
  测试7、关了卡巴6,解压出一个叫做1.exe的文件,注意,此文件先前经卡巴6判断为木马。用“木马杀客”查杀,结果:
Quote:

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3315
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\1.exe
处理方式:删除 成功

  说明“木马杀客”还确实能杀出木马来,我想测试一下它到底能在这25个病毒里查出多少个。

  测试8、把这25个病毒样本全部解压出来,用“木马杀客”查杀,结果:
Quote:

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3315
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\1.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3316
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\10.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3317
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\11.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3318
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\12.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3319
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\13.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3320
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\14.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3321
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\15.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3322
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\16.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3323
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\17.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3324
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\18.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3325
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\19.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3326
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\2.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3327
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\20.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3328
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\21.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3329
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\22.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3330
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\23.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3331
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\24.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3332
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\25.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3333
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\3.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3334
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\4.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3335
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\5.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3336
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\6.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3337
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\7.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.Gpigeon.3338
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\8.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3339
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\9.exe
处理方式:删除 成功


  数了一下,正好25个全部被杀,“木马杀客”还是很烈嘛,连卡巴6都查不全的都能杀出来。怪了怪了,不应该这样啊,个人觉得它肯定和文件大小有关系。

  测试9、解压1.exe,用北斗程序压缩(下载地址:http://192.168.2.6/soft/showsoft.asp?SoftID=978)压缩,压缩前,文件大小为883200bytes,压缩后,文件大小为874256bytes。用“木马杀客”查杀,没有找到。用卡巴6查,找到并删除。
  因此,可以看到,它确实对文件大小敏感。

  结论:“木马杀客”确实为一个不折不扣的歪货。它确实能识别到一些大小确定,或者文件名确定的木马,但是对于木马的变种,或者加壳,或者压缩后的木马,它就[屏蔽]为力了。主要原因是它的“杀毒引擎”只是简单的比较文件名和文件大小,并没有使用病毒特征码进行检验,因此,不能做到真正的杀掉木马。
  最后,一句话,大家不要用“木马杀客”了,它不能保护你的电脑!

====OVER 谢谢阅览====


PS:请软件站的管理人员把“木马杀客”从软件站里删除,谢谢。

附件说明:
1.zip 是没有经过压缩过的病毒样本。本来想把全部的病毒样本传上来,但是有30多M,太大了,传起麻烦。
1_C.zip 是经过压缩过的病毒样本。

两个文件的解压密码都是:a-bomb
本帖最近评分记录:
  • 浮云:8 (by 暗面佛)
  • 顶端 Posted: 2006-12-22 18:26 | [楼 主]
    刀子





    性别: 帅哥 状态: 该用户目前不在线
    等级: 人见人爱
    发贴: 2173
    威望: 2
    浮云: 1105
    在线等级:
    注册时间: 2004-11-30
    最后登陆: 2007-06-26

    5come5帮你背单词 [ here /hiə/ ad. 在这里,到这里,向这里,这时,在这一点上 ]


    好文章啊,以前就是挺怀疑有些东西检测太快了的,杀毒软件扫半天的两下就扫完了,
    绿鹰PC也有这同样的嫌疑吗?
    顶端 Posted: 2006-12-22 18:50 | [1 楼]
    太岁爷



    性别: 帅哥 状态: 该用户目前不在线
    等级: 初出茅庐
    发贴: 76
    威望: 0
    浮云: 1055
    在线等级:
    注册时间: 2006-06-13
    最后登陆: 2006-12-22

    5come5帮你背单词 [ pole /pəul/ n. 柱杆,地极,磁极,电极 ]


    写的非常精辟
    顶端 Posted: 2006-12-22 18:54 | [2 楼]
    236644064



    性别: 保密 状态: 该用户目前不在线
    等级: 品行端正
    发贴: 469
    威望: 0
    浮云: 1121
    在线等级:
    注册时间: 2005-11-02
    最后登陆: 2008-06-29

    5come5帮你背单词 [ inflate // v. (使)膨胀,(使)充气 ]


    在64位系统中装了NOD32 一直都没什么反应,我还以为死了呢
    小试了一下,鼠标左键还没抬起,杀毒窗口就出来了
    NOD32 “侦测速度奇快”果然不是吹的!!!
    顶端 Posted: 2006-12-22 18:58 | [3 楼]
    iguard



    贝尔诺勋章 自信之戒
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 要走了
    等级: 版主
    家族: 战略研究所
    发贴: 11259
    威望: 5
    浮云: 407
    在线等级:
    注册时间: 2005-12-07
    最后登陆: 2009-11-04

    5come5帮你背单词 [ spouse /spauz/ n. 配偶 ]


    木马杀客的问题在外网也早有人提出了,大家有兴趣的话可以去外网看看。
    顶端 Posted: 2006-12-22 19:04 | [4 楼]
    a-bomb



    性别: 帅哥 状态: 该用户目前不在线
    头衔: ‖四∷大∷淫∷魔∷之∷首‖
    等级: 人见人爱
    发贴: 3076
    威望: 2
    浮云: 1747
    在线等级:
    注册时间: 2004-03-31
    最后登陆: 2015-06-12

    5come5帮你背单词 [ ability /ə'biliti/ n. 能力,本领才能,才识 ]


    Quote:
    引用第4楼iguard于2006-12-22 19:04发表的:
    木马杀客的问题在外网也早有人提出了,大家有兴趣的话可以去外网看看。



    真的吗?
    有时间去看看~~
    顶端 Posted: 2006-12-22 19:08 | [5 楼]
    iguard



    贝尔诺勋章 自信之戒
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 要走了
    等级: 版主
    家族: 战略研究所
    发贴: 11259
    威望: 5
    浮云: 407
    在线等级:
    注册时间: 2005-12-07
    最后登陆: 2009-11-04

    5come5帮你背单词 [ surprising /sə'praiziŋ/ a. 令人惊讶的 ]


    楼主提供的附件中加壳的病毒样本用NOD32查不出病毒,用AVG anti-spyware可以。

    北斗程序压缩(就是一个加壳程序)用NOD32查,不报病毒,用AVG anti-spyware提示有木马。

    我现在不知道该相信谁了。
    顶端 Posted: 2006-12-22 19:11 | [6 楼]
    a-bomb



    性别: 帅哥 状态: 该用户目前不在线
    头衔: ‖四∷大∷淫∷魔∷之∷首‖
    等级: 人见人爱
    发贴: 3076
    威望: 2
    浮云: 1747
    在线等级:
    注册时间: 2004-03-31
    最后登陆: 2015-06-12

    5come5帮你背单词 [ opaque /əu'peik/ a. 不透明的,无光泽的,含糊不清的 ]


    Quote:
    引用第6楼iguard于2006-12-22 19:11发表的:
    楼主提供的附件中加壳的病毒样本用NOD32查不出病毒,用AVG anti-spyware可以。

    北斗程序压缩(就是一个加壳程序)用NOD32查,不报病毒,用AVG anti-spyware提示有木马。

    我现在不知道该相信谁了。



    杀毒软件都信不过了~~
    还是相信自己吧`~
    当自己觉得有异常的时候,
    看看进程
    看看启动项~~
    再看看windows和system32下有没有什么可疑的文件~`

    我基本上就是这样做的~~~~
    顶端 Posted: 2006-12-22 19:23 | [7 楼]
    tottyf





    性别: 帅哥 状态: 该用户目前不在线
    头衔: 菠菜水手~飞帆一方
    等级: 荣誉会员
    家族: 菠韬汹勇
    发贴: 21773
    威望: 2
    浮云: 999
    在线等级:
    注册时间: 2005-09-08
    最后登陆: 2009-09-19

    5come5帮你背单词 [ breakdown /'breikdaun/ n. 垮台,破裂,(健康,精神等)衰竭,衰弱,(机器等)损坏,故障 ]


    谢谢lz分享
    顶端 Posted: 2006-12-22 19:33 | [8 楼]
    圣斗士



    性别: 帅哥 状态: 该用户目前不在线
    等级: 栋梁之材
    家族: 东北一家人
    发贴: 538
    威望: 0
    浮云: 1113
    在线等级:
    注册时间: 2006-10-29
    最后登陆: 2009-07-07

    5come5帮你背单词 [ slip /slip/ vi. 滑倒,溜走,犯错误,疏忽,被错过,被忘记;n. 小过失,失误,滑倒 ]


    好文章啊,我顶了.我就下过那个木马杀客,确实没用啊!!多谢LZ了
    顶端 Posted: 2006-12-22 19:36 | [9 楼]
    xsy



    贝尔诺勋章
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 小山羊
    等级: 荣誉会员
    家族: fans
    发贴: 7660
    威望: 4
    浮云: 407
    在线等级:
    注册时间: 2006-01-07
    最后登陆: 2023-06-21

    5come5帮你背单词 [ mould /məuld/ B n. 模型,模子;vt. 浇铸塑造 ]


    谢谢楼主分享!
    顶端 Posted: 2006-12-22 20:02 | [10 楼]
    lyker99



    性别: 保密 状态: 该用户目前不在线
    头衔: 千万别听我瞎掰
    等级: 荣誉会员
    家族: 八宝推倒委员会
    发贴: 2903
    威望: 2
    浮云: 416
    在线等级:
    注册时间: 2004-10-03
    最后登陆: 2009-03-15

    5come5帮你背单词 [ herself /hə:'self/ pron. 她自己,她本人 ]


    前段时间电脑报和天网资讯网已经相继报导过此事了
    顶端 Posted: 2006-12-22 23:31 | [11 楼]
    我来我网·5come5 Forum » 软件交流

    Total 0.012258(s) query 5, Time now is:11-23 19:45, Gzip enabled
    Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号