金山衛士已經在電腦裡呆了一段時間,平時沒見動靜,今天檢查出U盤上的病毒,總算有點反應了。順便記下一些使用體會。
1、在非管理者權限使用者帳戶下運作,有些功能會失效,如金山衛士清除木馬的本地V10引擎無法開啟
2、實時保護功能不完善 今天一位同僚拿U盤過來拷資料,金山衛士檢查出U盤中有惡意程式,清除後再檢查U盤,發現還是有問題:
(1)未删除病毒用來啟動的AUTORUN.inf
AUTORUN.inf的内容為:
[AUTORUN]
Shellexecute=Secret.exe
(2)對僞裝成檔案夾的木馬病毒EXE檔案清除不徹底。遺漏了如下2個。
檔案說明符 : G:/Recycled.exe
屬性 : -SH-
數字簽名:否
PE檔案:是
語言 : 英語(美國)
檔案版本 : 1.00
産品版本 : 1.00
産品名稱 : Hav_online
内部名稱 : task
源檔案名 : task.exe
建立時間 : 2007-12-23 22:44:34
修改時間 : 2007-12-22 7:50:56
大小 : 112128 位元組 109.512 KB
MD5 : 65fee6921df6aedca88f5b569bf1d543
SHA1: 8734BCE69825B21F3573CA94398647BDE49C6EB6
CRC32: 66169b58
檔案說明符 : G:/Recycle.exe
屬性 : -SH-
數字簽名:否
PE檔案:是
語言 : 英語(美國)
檔案版本 : 1.00
産品版本 : 1.00
産品名稱 : Hav_online
内部名稱 : task
源檔案名 : task.exe
建立時間 : 2007-12-23 22:44:34
修改時間 : 2007-12-22 7:50:56
大小 : 112128 位元組 109.512 KB
MD5 : 65fee6921df6aedca88f5b569bf1d543
SHA1: 8734BCE69825B21F3573CA94398647BDE49C6EB6
CRC32: 66169b58
這應該是比較老的惡意程式了,許多防毒軟體都能檢測出來:
http://www.virustotal.com/file-scan/report.html?id=54a42f1cb9371aa1566587dcc9db0e9ea10564a2a2474f9f2d5afc589c92935b-1297818014
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2011.02.14.02 | 2011.02.14 | Win32/Autorun.worm.112128 |
| AntiVir | 7.11.3.93 | 2011.02.15 | TR/VB.ghs |
| Antiy-AVL | 2.0.3.7 | 2011.02.15 | Trojan/Win32.Agent.gen |
| Avast | 4.8.1351.0 | 2011.02.16 | Win32:Agent-QTR |
| Avast5 | 5.0.677.0 | 2011.02.16 | Win32:Agent-QTR |
| AVG | 10.0.0.1190 | 2011.02.16 | Downloader.Agent2.FUQ |
| BitDefender | 7.2 | 2011.02.16 | Trojan.Generic.1748385 |
| CAT-QuickHeal | 11.00 | 2011.02.15 | TrojanDownloader.Agent.ghs |
| ClamAV | 0.96.4.0 | 2011.02.16 | PUA.Packed.PECompact-1 |
| Commtouch | 5.2.11.5 | 2011.02.15 | W32/Downldr2.BDRF |
| Comodo | 7701 | 2011.02.15 | TrojWare.Win32.VB.ghs0 |
| DrWeb | 5.0.2.03300 | 2011.02.16 | BackDoor.Bulknet.419 |
| Emsisoft | 5.1.0.2 | 2011.02.15 | Virus.Worm.VB!IK |
| eSafe | 7.0.17.0 | 2011.02.15 | Win32.Agent.ghs |
| eTrust-Vet | 36.1.8161 | 2011.02.15 | Win32/SillyFDC.DI |
| F-Prot | 4.6.2.117 | 2011.02.15 | W32/Downldr2.BDRF |
| F-Secure | 9.0.16160.0 | 2011.02.16 | Trojan.Generic.1748385 |
| Fortinet | 4.2.254.0 | 2011.02.16 | - |
| GData | 21 | 2011.02.16 | Trojan.Generic.1748385 |
| Ikarus | T3.1.1.97.0 | 2011.02.15 | Virus.Worm.VB |
| Jiangmin | 13.0.900 | 2011.02.15 | TrojanDownloader.Agent.xly |
| K7AntiVirus | 9.85.3859 | 2011.02.15 | Trojan-Downloader |
| Kaspersky | 7.0.0.125 | 2011.02.16 | Trojan-Downloader.Win32.Agent.btlp |
| McAfee | 5.400.0.1158 | 2011.02.16 | Generic.dx |
| McAfee-GW-Edition | 2010.1C | 2011.02.15 | Heuristic.LooksLike.Win32.Suspicious.J!83 |
| Microsoft | 1.6502 | 2011.02.15 | Worm:Win32/VB.HA |
| NOD32 | 5878 | 2011.02.15 | a variant of Win32/AutoRun.VB.VO |
| Norman | 6.07.03 | 2011.02.15 | W32/Agent.EDBT |
| nProtect | 2011-02-10.01 | 2011.02.15 | Trojan-Downloader/W32.Agent.112128.J |
| Panda | 10.0.3.5 | 2011.02.15 | Trj/KeyLogger.CV |
| PCTools | 7.0.3.5 | 2011.02.16 | Trojan-Downloader.Agent!ct |
| Prevx | 3.0 | 2011.02.16 | High Risk Spyware |
| Rising | 23.45.01.06 | 2011.02.15 | Worm.Win32.VB.qp |
| Sophos | 4.61.0 | 2011.02.15 | Mal/VB-F |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.02.16 | - |
| TheHacker | 6.7.0.1.131 | 2011.02.15 | Trojan/Downloader.Agent.ghs |
| TrendMicro | 9.200.0.1012 | 2011.02.15 | WORM_AUTORUN.QH |
| TrendMicro-HouseCall | 9.200.0.1012 | 2011.02.15 | WORM_AUTORUN.QH |
| VBA32 | 3.12.14.3 | 2011.02.15 | TrojanDownloader.Agent.hor |
| VIPRE | 8433 | 2011.02.16 | Trojan.Win32.Generic.pak!cobra |
| ViRobot | 2011.2.15.4311 | 2011.02.15 | Trojan.Win32.Downloader.112128.C |
| VirusBuster | 13.6.202.1 | 2011.02.15 | Trojan.DL.Agent!5gauyxFgJFU |
如果說清除是靠特征碼,那麼有些被清除的木馬病毒為何沒有病毒木馬名?
(3)沒有隔離區?被清除的檔案沒法找回來。
3、下載下傳保護會自動上傳掃描結果為未知的檔案
我從郵箱下載下傳了一個自己寫的程式,金山衛士沒檢測出什麼問題,就自動上傳雲分析了,也沒詢問我是否同意。
![寫在工作13周年[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)