相信大家对此前出现的“智慧星”还没有忘记吧。前段时间,寝室一个同学的电脑中了木马,他去5come5下了一个叫做“木马杀客”东西来用,好像是查出了几个木马。
今天,我突然心血来潮,也用木马杀客来杀一下我的电脑,但是那个软件的“做工”确实让我不敢恭维,先不管UI好不好看,能不能杀马才是关键。查了一下C盘,很快就查完了,那个速度让我觉得是不是太快了点。结果果然没有找到木马,我还是对我的系统还是挺放心的。
那我是不是给他“造”一个木马来杀一下呢?我当然还没有本事写一个木马出来。根据“智慧星”的思路,我在“木马杀客”的目录下找“木马特征库”,没有找到,让我失望了。不行,怎么我也要给他造几个木马出来,记得木马名一直都有隐蔽的特征,也就是说,它和一个常见的系统进程有很相近或相同的文件名,有的把字母“l”换成数字“1”,有的把字母“o”换成数字“0”,按照这个思路,我做了以下测试:
测试1、在桌面上新建一个文档,并改名为:explorer.exe,注意哦,这个名字是和系统的 explorer 的名字是一样的。好,现在用“木马杀客”来查一下。诶,果然发现了一个木马:
Quote:
系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:C:\Documents and Settings\zy\桌面\explorer.exe
处理方式:隔离 成功
嗯。。。。这个。。。。好,先不来评价,我们继续测试。
测试2、在桌面上新建一个文档,并改名为:expl0rer.exe,注意,中间是数字“0”哦。查杀结果:
Quote:
系统事件:已发现木马!
木马名称:PWSteal.Trojan.2410
木马路径:C:\Documents and Settings\zy\桌面\expl0rer.exe
处理方式:隔离 成功
C:\Documents and Settings\zy\桌面\expl0rer.exe
测试3、在桌面上新建一个文档,并改名为:exp1orer.exe,注意,中间是数字“1”哦。查杀结果:
Quote:
系统事件:已发现木马!
木马名称:传奇木马001.280
木马路径:C:\Documents and Settings\zy\桌面\exp1orer.exe
处理方式:隔离 成功
C:\Documents and Settings\zy\桌面\exp1orer.exe
通过上面三个测试,我们可以看到,“木马杀客”确实是通过判断文件名来确定文件是否为木马。但是,我不知道他为什么不删除,而只是“隔离”。而且,“木马杀客”的隔离只是简单的采用了在文件名后面加“_被屏蔽木马”字段来“隔离”的。So naive。。。。。。
既然可以把空白的文件识别为木马,它会不会把自己的文件识别为木马呢?开始行动:
测试4、从“木马杀客”的目录里把它的主程序“mmsk.exe”拷贝到桌面,改名为explorer.exe,查杀,结果没有发现木马。
我对这么一个结果还是相当欣慰的,至少它还可以判断一下是不是它自己的文件。脑壳一转,又想到一个法子。
测试5、把以前自己做的一个叫做SetTop.exe的文件复制到桌面上,改名为explorer.exe,查杀,结果和我预期的不同,它没有被判断为木马。
这就奇怪了,为什么空文件就可以判断为木马,而真正的或执行文件就不能判断为木马呢?那把文件长度非零的文本文档改为explorer.exe会不会同样不被判断为木马呢?
测试6、在桌面上新建文本文档,随便在里面填写几个字母,改名为explorer.exe,查杀,结果又和我的预期不同,它被判断成了木马:
Quote:
系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:C:\Documents and Settings\zy\桌面\explorer.exe
处理方式:隔离 成功
发现日期:2006年10月5日
怎么回事?我觉得“木马杀客”的判断条件应该和文件大小有关系,具体是什么样的关系,我却不得而知。
我不如去找点真的木马来试一下,以前收藏的木马病毒样本被删了,把同学的U盘拿来,也没有找到病毒,没有办法,只有自己去网上找了。找到一个“中国病毒联盟”提供的病毒测试包(下载地址:
http://www.zhyedu.com/upuserfile/virus-2005-test.rar),里面共有25个病毒样本,它们的编号是从1到25的整型。用卡巴6查了一下,共找到20个病毒,也就是说卡巴6漏杀了5个病毒,于是我开始怀疑卡巴6的性能,确实有点恼火,不过,这都是题外话了,说正题。继续测试:
测试7、关了卡巴6,解压出一个叫做1.exe的文件,注意,此文件先前经卡巴6判断为木马。用“木马杀客”查杀,结果:
Quote:
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3315
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\1.exe
处理方式:删除 成功
说明“木马杀客”还确实能杀出木马来,我想测试一下它到底能在这25个病毒里查出多少个。
测试8、把这25个病毒样本全部解压出来,用“木马杀客”查杀,结果:
Quote:
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3315
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\1.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3316
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\10.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3317
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\11.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3318
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\12.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3319
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\13.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3320
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\14.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3321
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\15.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3322
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\16.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3323
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\17.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3324
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\18.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3325
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\19.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3326
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\2.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3327
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\20.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3328
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\21.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3329
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\22.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3330
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\23.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3331
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\24.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3332
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\25.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3333
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\3.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3334
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\4.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3335
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\5.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3336
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\6.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3337
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\7.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.Gpigeon.3338
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\8.exe
处理方式:删除 成功
系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3339
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\9.exe
处理方式:删除 成功
数了一下,正好25个全部被杀,“木马杀客”还是很烈嘛,连卡巴6都查不全的都能杀出来。怪了怪了,不应该这样啊,个人觉得它肯定和文件大小有关系。
测试9、解压1.exe,用北斗程序压缩(下载地址:
http://192.168.2.6/soft/showsoft.asp?SoftID=978)压缩,压缩前,文件大小为883200bytes,压缩后,文件大小为874256bytes。用“木马杀客”查杀,没有找到。用卡巴6查,找到并删除。
因此,可以看到,它确实对文件大小敏感。
结论:
“木马杀客”确实为一个不折不扣的歪货。它确实能识别到一些大小确定,或者文件名确定的木马,但是对于木马的变种,或者加壳,或者压缩后的木马,它就[屏蔽]为力了。主要原因是它的“杀毒引擎”只是简单的比较文件名和文件大小,并没有使用病毒特征码进行检验,因此,不能做到真正的杀掉木马。
最后,
一句话,大家不要用“木马杀客”了,它不能保护你的电脑!====OVER 谢谢阅览====
PS:请软件站的管理人员把“木马杀客”从软件站里删除,谢谢。
附件说明:
1.zip 是没有经过压缩过的病毒样本。本来想把全部的病毒样本传上来,但是有30多M,太大了,传起麻烦。
1_C.zip 是经过压缩过的病毒样本。
两个文件的解压密码都是:a-bomb
