■ 关于反病毒软件对木马捆绑木马的识别能力的测试

king

■ 关于反病毒软件对木马捆绑木马的识别能力的测试

　　朋友们，你们是否想过有这么一种可能：对于一些文件，你曾经以多种杀毒软件进行扫描，然而一运行它，你还是中了木马，中了病毒。而且你中的木马、病毒都是这些杀毒软件可以查杀的，为何呢？
　　
　　大家是否考虑到木马捆绑的问题？在以往的反病毒软件测试中，往往主要是检查杀毒软件的查杀病毒能力，很少涉及到捆绑问题。在今年《大众软件》总第97期的反病毒产品民间测试报告中就提到：“攻击者在诱导用户运行后门工具的SERVER端时，经常要对有害程序进行伪装，最主要的伪装工具就是EXE捆绑工具。后门工具SERVER端捆绑到其他可执行文件后，用户误以为收到并执行的是正常可执行程序，而不知道后门工具已经悄悄运行。”但是《大众软件》并没有进行这个测试。为了检验杀毒软件对于捆绑木马的识别能力，我特意做了以下的小测试。希望能对大家有所帮助。
　　以下的测试我是用了木马捆绑木马的方法进行的，测试结果仅仅是在本人的测试机器、本人的测试平台上取得，不能够保证所有的平台均出现同样的结果，所以以下测试仅供参考，而且测试总结也仅仅代表本人个人意见。

测试情况：
选取木马样本：冰河2.2版和妖之吻（千年老妖）
选择捆绑工具：蔬菜工作室出品的EXE捆绑机v1.2版
捆绑工具说明：这个EXE捆绑机可以把两个exe文件捆绑在一起，对于捆绑后的exe文件，有两个选项：加密（反特征码扫描）、不加密。

木马说明：冰河2.2服务器端 260k
　　　　　妖之吻 252k
　　　　　捆绑后的加合型木马（不加密） 664k
　　　　　捆绑后的加合型木马（加密） 664k
　　测试说明：在测试中，选取的是冰河＋妖之吻，原因是参加测试的杀毒软件中没有一个是不能够识别这两种木马的，所以只有这样才能够公平对待各种杀毒软件。在测试的开始，我本来选取了冰河＋广外女生，然而McAfee、VRV 2001均不能够识别广外女生，这样测试结果可能对这两种杀毒软件不公平。所以后来改为冰河＋妖之吻。

测试操作系统：Windows Me（4.90.3000）

测试的硬件平台：
CPU: PIII 667
主板： ABIT SE6 （Intel i815E）
显卡： ASUS AGP-3800 PRO（TNT2 PRO 16M）
声卡： 板带 AC97
内存： 256M KingMax PC-150
硬盘： IBM腾龙二代 307015 15G
参加测试的杀毒软件以及详细的版本情况：
金山毒霸I:　主程序版本：2001.04.26.1882
　　　　　　查毒引擎版本：2001.07.23
　　　　　　DrWeb引擎版本：4.25
　　　　　　病毒库版本：2001.08.15
　　　　　　已知病毒家族数：26089
KVW3000:　　程序版本号：4.12
　　　　　　病毒库版本：2001.8.21
瑞星2001:　程序版本号：12.37版
北信源VRV2001:程序版本号：62a
　　　　　　　升级日期：2001.08.19
安全之星XP：　更新病毒库日期：August 20,2001
　　　　　　　基本病毒库日期：July 25,2001
主程序版本：1.0.0.10
AVP:版本：3.5.133.0
　　　　　病毒库日期：22.08.2001
　　　　　已知病毒数：47873
NORTON 2001:版本：7.07.23D
　　　　　　病毒定义：2001－8－20
　　　　　　病毒定义数目：51820
McAfee :版本：5.21.1000
　　　　　　　病毒库：4.0.4154
　　　　　　　查毒引擎：4.1.40


测试一：静态扫描
　　测试说明：在本次静态扫描测试中，所有杀毒软件如果有启发式查毒、深层查毒之类的选项则全部打开；如果这些选项还有灵敏度则设为最高灵敏度。另外测试中会让杀毒软件扫描各文件，分别为（A）冰河2.2版的服务器端、（B）妖之吻、（C）上两者捆绑并加密后的加合型木马、（D）上两者捆绑后但不加密的加合型木马。以此来检测杀毒软件对于捆绑后的木马的识别能力。

以下是测试一的结果：
杀毒软件名称 冰河2.2 妖之吻 捆绑后并加密 捆绑后不加密
金山毒霸 可以识别 可以识别 报告没有病毒 报告发现妖之吻
KVW3000 可以识别 可以识别 报告发现冰河 报告发现冰河、妖之吻
瑞星2001 可以识别 可以识别 报告没有病毒 报告没有病毒
安全之星XP 可以识别 可以识别 报告没有病毒 　　报告发现妖之吻
VRV 2001 可以识别 可以识别 报告没有病毒 报告没有病毒
AVP 可以识别 可以识别 报告发现冰河 报告发现冰河、妖之吻
McAfee 可以识别 可以识别 可以识别 可以识别（见注解A）
Norton 2001 可以识别 可以识别 报告没有病毒 报告没有病毒

注解A：
　　在测试中，McAfee对于这4个文件的扫描均报告为Trojan，所以并不能够断定它在捆绑扫描中是否发现冰河捆绑妖之吻或者是发现这两个木马其中的一个。
小结：
　　从测试一的结果可以看出，在对于木马捆绑木马的静态扫描中，KVW3000、AVP、McAfee成绩最好，不论是不加密捆绑还是加密捆绑都可以查出，其次是金山毒霸、安全之星XP，可以查出不加密捆绑 ，最差是瑞星2001、VRV 2001、NORTON 2001，一捆绑就查不出来。
　　所以有一些朋友平时不打开防火墙，只是遇到拷贝一些文件时才用杀毒软件对要拷贝的文件进行扫描，如果没有扫描到木马、病毒就放心使用。当时虽然扫描不出木马、病毒，但是从这个测试中可以看出这样也未必就是安全。如果你刚好就是使用金山毒霸、安全之星XP、瑞星2001、VRV 2001、NORTON 2001这些杀毒软件进行静态扫描而没有发现木马、病毒以后就放心使用某些文件，那么有可能你已经中招了！哪怕是你用保险的方法，进行交叉查毒，然而只要你是用这几种杀毒软件中的两种甚至这5种全用上进行交叉查毒也是无济于事，还是有可能中招！
　　
　　既然静态扫描不能够解决问题，那么如果开着防火墙，又是否能够防住这些捆绑木马呢？可以看一看下边我做的测试二。
测试二：病毒防火墙攻击测试
测试辅助工具：LockDown2000 7.0.0.6.D
测试说明：
　　每一次均打开一个待测软件的防火墙以及LockDown2000 7.0.0.6，如果防火墙的设置有启发式之类的选项，则打开启发式查毒，并把灵敏度调到最高。然后在打开防火墙的情况下分别双击不加密和加密的捆绑加合型木马 （冰河＋妖之吻），观察所打开的防火墙是否拦截成功。
如果冰河成功加载 就会在C:\\Windows\\system下生成两个新的exe文件；
如果妖之吻成功加载就会自动修改 system.ini 文件，屏幕会无端出现一个背景为风景画的框，有“亲爱的，给你一个关机之吻”字样，并出现倒计时。
所以在测试二中，在打开防火墙的情况下，如果发现windows\\system下生成两个新的exe文件则算是冰河加载成功，也就是说病毒防火墙拦截冰河失败；
如果在打开防火墙的情况下，但是LockDown2000 7.0.0.6弹出报警，发现妖之吻成功修改system.ini文件，则算是妖之吻加载成功，也就是说病毒防火墙拦截妖之吻失败。
再有一点：
　　如果双击运行捆绑木马后，冰河、妖之吻没有一个加载成功，则再双击运行两次，以测试防火墙的稳定性；但是如果在第一次已经成功加载冰河或妖之吻其中的一个或者两个都成功加载，那么就停止第二、第三次攻击测试。我相信，哪怕是防火墙成功通过第二、三次测试也是没有用的，一次的成功加载已足以致命。
要知道，生命无TAKE TWO！
以下是测试二的结果：

不加密测试 加密测试
杀毒软件 冰河 妖之吻 防火墙报告 冰河 妖之吻 防火墙报告
金山毒霸 成功拦截 成功拦截 发现妖之吻 成功拦截 成功拦截 发现冰河

KVW3000 成功拦截 成功拦截 发现冰河 成功拦截 成功拦截 发现冰河

瑞星2001 成功拦截 拦截失败 发现冰河 成功拦截 拦截失败 发现冰河
发现妖之吻 发现妖之吻

安全之星XP 拦截失败 成功拦截 发现妖之吻 拦截失败 成功拦截 发现妖之吻

VRV 2001 成功拦截 拦截失败 发现冰河 成功拦截 成功拦截 发现冰河（见注解B）
发现妖之吻

AVP 成功拦截 成功拦截 发现冰河 成功拦截 成功拦截 发现冰河

McAfee 成功拦截 成功拦截 发现Backdoor-FR.dr 成功拦截 成功拦截 发现Backdoor-FR.dr

NORTON 2001 拦截失败 拦截失败 没有报告 拦截失败 拦截失败 没有报告

注解B：
　　在对北信源VRV 2001防火墙进行测试时出现不稳定现象，在加密测试时北信源通过了第一、二次的攻击测试，但是在第三次测试时，北信源防火墙却拦截妖之吻失败，导致妖之吻加载成功，此时防火墙则只是报告发现冰河。

小结：
　　在测试二中，表现最好的是KVW3000、AVP、McAfee、金山毒霸，这四种杀毒软件不论加密还是不加密均能够成功拦截，其次是瑞星2001、安全之星XP、VRV 2001。瑞星可以拦截冰河，安全之星XP可以拦截妖之吻。虽然如此，瑞星2001的防火墙看来还是不甚稳定，它发现了冰河和妖之吻，但是却让妖之吻成功运行，如果是使用瑞星2001防火墙的用户，看到以为瑞星拦截木马、病毒成功，但是原来木马有可能已经成功绕过瑞星的实时监控运行了。对于VRV 2001，同样有不稳定现象出现，见注解B。最令我大跌眼睛的是NORTON 2001，这个享誉世界的品牌，居然没有一个拦截成功，冰河、妖之吻全部在其监控底下运行成功，排在测试的最后，NORTON 2001的表现实在使我费解。通过测试二看来，也不是所有防火墙可以拦截木马捆绑木马的。

总结：
　　综合测试一、测试二的结果，我们可以看出，KVW3000、AVP、McAfee完全通过测试，不论是静态扫描还是防火墙攻击都没有问题，表现相当出色；金山毒霸虽然在静态扫描中表现不是最好，不能够查出捆绑加密后的木马，但是在防火墙测试中表现也是十分出色，都可以成功拦截冰河、妖之吻。以上的四种杀毒软件，只要开着防火墙，大家还是可以比较放心的，至少对于冰河捆绑妖之吻这种木马捆绑木马的情况一般来说不会有事。但是其他的杀毒软件就很难说的，至少在我的测试中就没有通过，像瑞星2001、安全之星XP都有漏网之鱼；特别是NORTON 2001的表现实在差劲，两项测试都是最差。如果有人别有用心地把木马捆绑上木马，再欺骗用户运行，那么后果可想而知。一些杀毒软件在静态扫描中扫描不出来，而且连防火墙也拦截不住这些木马，现在的入侵手段越来越精明，说不定哪一天就是用了木马捆绑木马的方法，那么用户就算是使用杀毒软件进行过静态扫描还是有机会中招，甚至打开着防火墙还是有很大的中招可能。在这里我并不是危言耸听，而是如果到时候中招了才后悔就可能来不及了。还是那一句：对于来路不明的文件要慎重考虑才好打开它。
在这里我想再强调一点：
　　本测试只是木马捆绑木马，如果是某程序捆绑里“恶作剧之王”等格盘工具或“硬盘终结者”等逻辑炸弹呢？要知道，发作是立竿见影、即时生效，毫无商讨的余地。
　　最后，我要特别感谢瑞星反病毒论坛版主随风飘飘任逍遥为这次测试提供了资料以及在测试过程中提供的技术支持，再一次感谢他给予我的帮助以及支持！真诚的感谢！