我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: 木马杀客——又是一个“智慧星” 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

a-bomb



性别: 帅哥 状态: 该用户目前不在线
头衔: ‖四∷大∷淫∷魔∷之∷首‖
等级: 人见人爱
发贴: 3076
威望: 2
浮云: 1747
在线等级:
注册时间: 2004-03-31
最后登陆: 2015-06-12

5come5帮你背单词 [ warehouse /'w/əhaus 'w/əhauz/ n. 仓库,货栈 ]


木马杀客——又是一个“智慧星”

相信大家对此前出现的“智慧星”还没有忘记吧。前段时间,寝室一个同学的电脑中了木马,他去5come5下了一个叫做“木马杀客”东西来用,好像是查出了几个木马。
  今天,我突然心血来潮,也用木马杀客来杀一下我的电脑,但是那个软件的“做工”确实让我不敢恭维,先不管UI好不好看,能不能杀马才是关键。查了一下C盘,很快就查完了,那个速度让我觉得是不是太快了点。结果果然没有找到木马,我还是对我的系统还是挺放心的。
  那我是不是给他“造”一个木马来杀一下呢?我当然还没有本事写一个木马出来。根据“智慧星”的思路,我在“木马杀客”的目录下找“木马特征库”,没有找到,让我失望了。不行,怎么我也要给他造几个木马出来,记得木马名一直都有隐蔽的特征,也就是说,它和一个常见的系统进程有很相近或相同的文件名,有的把字母“l”换成数字“1”,有的把字母“o”换成数字“0”,按照这个思路,我做了以下测试:

  测试1、在桌面上新建一个文档,并改名为:explorer.exe,注意哦,这个名字是和系统的 explorer 的名字是一样的。好,现在用“木马杀客”来查一下。诶,果然发现了一个木马:
Quote:

系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:C:\Documents and Settings\zy\桌面\explorer.exe
处理方式:隔离 成功


  嗯。。。。这个。。。。好,先不来评价,我们继续测试。

  测试2、在桌面上新建一个文档,并改名为:expl0rer.exe,注意,中间是数字“0”哦。查杀结果:
Quote:

系统事件:已发现木马!
木马名称:PWSteal.Trojan.2410
木马路径:C:\Documents and Settings\zy\桌面\expl0rer.exe
处理方式:隔离 成功
C:\Documents and Settings\zy\桌面\expl0rer.exe


  测试3、在桌面上新建一个文档,并改名为:exp1orer.exe,注意,中间是数字“1”哦。查杀结果:
Quote:

系统事件:已发现木马!
木马名称:传奇木马001.280
木马路径:C:\Documents and Settings\zy\桌面\exp1orer.exe
处理方式:隔离 成功
C:\Documents and Settings\zy\桌面\exp1orer.exe


  通过上面三个测试,我们可以看到,“木马杀客”确实是通过判断文件名来确定文件是否为木马。但是,我不知道他为什么不删除,而只是“隔离”。而且,“木马杀客”的隔离只是简单的采用了在文件名后面加“_被屏蔽木马”字段来“隔离”的。So naive。。。。。。

  既然可以把空白的文件识别为木马,它会不会把自己的文件识别为木马呢?开始行动:

  测试4、从“木马杀客”的目录里把它的主程序“mmsk.exe”拷贝到桌面,改名为explorer.exe,查杀,结果没有发现木马。
  我对这么一个结果还是相当欣慰的,至少它还可以判断一下是不是它自己的文件。脑壳一转,又想到一个法子。

  测试5、把以前自己做的一个叫做SetTop.exe的文件复制到桌面上,改名为explorer.exe,查杀,结果和我预期的不同,它没有被判断为木马。
  这就奇怪了,为什么空文件就可以判断为木马,而真正的或执行文件就不能判断为木马呢?那把文件长度非零的文本文档改为explorer.exe会不会同样不被判断为木马呢?

  测试6、在桌面上新建文本文档,随便在里面填写几个字母,改名为explorer.exe,查杀,结果又和我的预期不同,它被判断成了木马:
Quote:

系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:C:\Documents and Settings\zy\桌面\explorer.exe
处理方式:隔离 成功
发现日期:2006年10月5日

  怎么回事?我觉得“木马杀客”的判断条件应该和文件大小有关系,具体是什么样的关系,我却不得而知。
  我不如去找点真的木马来试一下,以前收藏的木马病毒样本被删了,把同学的U盘拿来,也没有找到病毒,没有办法,只有自己去网上找了。找到一个“中国病毒联盟”提供的病毒测试包(下载地址:http://www.zhyedu.com/upuserfile/virus-2005-test.rar),里面共有25个病毒样本,它们的编号是从1到25的整型。用卡巴6查了一下,共找到20个病毒,也就是说卡巴6漏杀了5个病毒,于是我开始怀疑卡巴6的性能,确实有点恼火,不过,这都是题外话了,说正题。继续测试:
  测试7、关了卡巴6,解压出一个叫做1.exe的文件,注意,此文件先前经卡巴6判断为木马。用“木马杀客”查杀,结果:
Quote:

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3315
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\1.exe
处理方式:删除 成功

  说明“木马杀客”还确实能杀出木马来,我想测试一下它到底能在这25个病毒里查出多少个。

  测试8、把这25个病毒样本全部解压出来,用“木马杀客”查杀,结果:
Quote:

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3315
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\1.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3316
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\10.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3317
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\11.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3318
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\12.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3319
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\13.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3320
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\14.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3321
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\15.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3322
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\16.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3323
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\17.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3324
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\18.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3325
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\19.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3326
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\2.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3327
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\20.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3328
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\21.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3329
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\22.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3330
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\23.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3331
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\24.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3332
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\25.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3333
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\3.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3334
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\4.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3335
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\5.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3336
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\6.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3337
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\7.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.Gpigeon.3338
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\8.exe
处理方式:删除 成功

系统事件:已发现木马!
木马名称:Backdoor.GPigeon.3.a.3339
木马路径:C:\Documents and Settings\zy\桌面\Virus-2005-Test\9.exe
处理方式:删除 成功


  数了一下,正好25个全部被杀,“木马杀客”还是很烈嘛,连卡巴6都查不全的都能杀出来。怪了怪了,不应该这样啊,个人觉得它肯定和文件大小有关系。

  测试9、解压1.exe,用北斗程序压缩(下载地址:http://192.168.2.6/soft/showsoft.asp?SoftID=978)压缩,压缩前,文件大小为883200bytes,压缩后,文件大小为874256bytes。用“木马杀客”查杀,没有找到。用卡巴6查,找到并删除。
  因此,可以看到,它确实对文件大小敏感。

  结论:“木马杀客”确实为一个不折不扣的歪货。它确实能识别到一些大小确定,或者文件名确定的木马,但是对于木马的变种,或者加壳,或者压缩后的木马,它就[屏蔽]为力了。主要原因是它的“杀毒引擎”只是简单的比较文件名和文件大小,并没有使用病毒特征码进行检验,因此,不能做到真正的杀掉木马。
  最后,一句话,大家不要用“木马杀客”了,它不能保护你的电脑!

====OVER 谢谢阅览====


PS:请软件站的管理人员把“木马杀客”从软件站里删除,谢谢。

附件说明:
1.zip 是没有经过压缩过的病毒样本。本来想把全部的病毒样本传上来,但是有30多M,太大了,传起麻烦。
1_C.zip 是经过压缩过的病毒样本。

两个文件的解压密码都是:a-bomb
本帖最近评分记录:
  • 浮云:8 (by 暗面佛)
  • 顶端 Posted: 2006-12-22 18:26 | [楼 主]
    xsy



    贝尔诺勋章
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 小山羊
    等级: 荣誉会员
    家族: fans
    发贴: 7660
    威望: 4
    浮云: 407
    在线等级:
    注册时间: 2006-01-07
    最后登陆: 2023-06-21

    5come5帮你背单词 [ current /'kΛrənt/ a. 现时的,当时的,当今的,通用的;n. (水、气、电)流,趋势,倾向 ]


    谢谢楼主分享!
    顶端 Posted: 2006-12-22 20:02 | [1 楼]
    我来我网·5come5 Forum » 软件交流

    Total 0.008543(s) query 6, Time now is:11-27 14:18, Gzip enabled
    Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号