simonpanda
2003-09-24, 11:09 PM
2003/11/7 Update!!
測試你防毒軟體的功力 (http://www.pczone.com.tw/vbb3/showthread.php?t=108893) 此篇參考!
注意:
(1) 此篇目的是測試防毒軟體,請勿拿病毒去害人,請自愛!
(2) 此篇跟原作者plunderer無關,提供的病毒檔僅供測試,無散佈病毒之意,是我們這些多事的人希望能讓大家知道自己防毒軟體的能力!
(3) 本人轉貼,提供意見,但不負任何損害各位電腦的責任,記得不要執行病毒檔,只有解壓縮保證沒事,請大家注意!!
(4) 主要測試為Backdoor/warm 後門跟蠕蟲的防護,結果僅供參考!!
以下文字來自於 史萊姆論壇病毒高人plunderer的文章,由於是付費vip區,所以不能提供連結:
-----------------------------------------------------------------------
最近出了很多知名的新版防毒軟體, 大家再來試試看吧...
此壓縮檔只是私人測試, 不具權威性及全面性, 其結果僅供參考...
壓縮檔內有六個常見測試體, 都不會自動產生作用, 請放心...但切勿執行, 只在檢視壓縮檔或解壓縮時測試就好了...測試完立即刪除並清理資源回收筒就沒事了, 不會有副作用
這些木馬後門或病毒在網路上隨便找就一堆, 若自認不可能碰到, 那就別試了...我只是提供這些東西的資訊給大家參考及測試, 想做 "其他用途"? 那就隨便你了, 不過後果自負....
再次強調: 別懷疑測試體無效, 測試用檢視壓縮檔或解壓縮就好, 不要去執行測試體!!!
http://www.zjjdaily.com/doc3/V_Test.rar
1 - 5 我沒動過, 可能原本就有加殼...6 為了安全, 我稍微改了一些
1. boxp.exe
赫赫有名的 Back Orifice 2000 (Bo2k)新版木馬被控端, 美國著名電腦地下組織 "死牛之祭"(專門攻擊微軟的組織) 的代表作, 若被成功植入並執行, 你的電腦就等於對方的電腦了...據說目前有些防毒軟體還查不出
2. SRV.exe
在大陸威名遠播的 "流光" Fluxay V5 被控端...說真的, 流光介面漂亮, 功能強, 是很好的遠程控制軟體, 被拿來當駭客工具太可惜了...
我看了一下SRV.exe內容, 不知被誰加了 PEShield + Aspack 的殼, 有些防毒軟體可能掃不到
3. win32.exe
冰河 8.2 被控端, 冰河是中美駭客大戰下的產物, 戰果輝煌...
此版隱蔽性很強, 被植入並執行後, 能穿過大部分防火牆, 若防毒軟體也查不出, 就要好好注意 "工作管理員" 內是否有 "ShellScrap.EXE" 這個程序了
4. invalid.exe
I-Worm.Invalid Win32.Invalid.A@mm 是透過 EMAIL 傳播的蠕蟲. 當附件被執行, 會檢查目前的 internet 連線, 如果目前沒有連線, 病毒的有效負載就會執行. 如果找到連線, 病毒將搜尋 my Documents 目錄中 *.ht* 檔案, 在找到的每個檔案中, 病毒將搜尋 mailto: 後面的字串, 並把這些字串作為外送郵件的地址. 如果過程中發生任何錯誤, 都將啟用有效負載. 當有效負載啟用後, 病毒搜尋目前目錄和上層目錄中的所有 exe 檔案, 使用隨機產生的鍵值對檔案進行加密, 使得這些檔案不能用
5. WTC.exe
美國 911恐怖襲擊事件後, 美國與伊斯蘭駭客大戰不斷升級, 以此為題的病毒也在網上現身
Win32.Vote@mm 又叫 "新投票病毒" 是第一個以911事件產生的病毒, 執行此病毒將刪除系統中的防毒軟體, 並在 windows 目錄下加入 MixDaLaL.vbs Zacker.vbs, 更改 IE 首頁設定, 並刪除 c:\windows 目錄, 嚴重時會格式化 C碟
更可怕的是此病毒會下載並安裝 Trojan 後門程式, 任何人都能完全控制受感染的電腦. 發佈大量 email 給 Outlook Express 中每位聯絡人, 覆蓋全部 HTM、HTML 檔案, 並修改 autoexec.bat及登錄檔
6. 硬碟DIE.html
原始檔我已修改及加密了, 怕被別人改去害人....
顧名思義, 瀏覽此網頁就立即 format 硬碟, 但這個代碼不像其他 format 硬碟的網頁炸彈那樣在進入時 IE 的安全設定會起作用, 此程序在背景執行, IE 安全設定不會提示 (因為一般安全層級預設為 "中"), 就算你的安全級別設為 "高", 在啟動系統時也會格式化. 若不能 format C碟, 就會刪除 SYSTEM 目錄的所有檔案
此程序是快速、強制、不詢問, 又是後門程序, 瀏覽網頁好像什麼也沒發生, 等你發現時硬碟已經被乾洗了...
預防萬一(不小心瀏覽), 我做了一些修改: 原本是 format C 到 H 代號的硬碟, 改成只有 H, 且只會刪除 c:\windows\temp 無效的暫存檔...若你剛好有 H碟, 那你千萬別開啟這個網頁
別閉門造車啊, 測試完回覆一下, 讓大家討論參考
----------------------------------------------------------------------
(PS 以下圖片轉貼至Slime論壇,已徵求原貼圖作者同意)
小弟玩了 Norton AntiVirus 2004、PC-cillin 2004、F-Secure 5.5、Kaspersky Anti-Virus 4.5、ESet NOD32、Macfee enterprise 7中文企業版、Zlock2003.....均更新最新病毒碼,以下是結果:
Norton 2004 中文版
首先先設定,因為預設的設定對木馬後門防禦較鬆
http://home.pchome.com.tw/service/hardlike/slime/norton2004ch_setting0.JPG
http://home.pchome.com.tw/service/hardlike/slime/norton2004ch_setting1.JPG
解壓縮後發現五隻:
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_0.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_1.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_2.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_3.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_4.JPG
手動掃瞄沒找到SRV.exe!
PC-cillin 2004 解壓縮沒發現,手動也沒發現!! (有時候真懷疑那些測試雜誌是不是收錢了@@)
http://home.pchome.com.tw/service/hardlike/slime/pccillin2004.jpg
注意:PC-Cillin 2004測試結果確定是上圖,一隻都沒找到!!!之後Trend可能發現該討論(其實在史版就開始發燒了),不排除有Trend的業代或是engineer在該討論區發現,所以更新病毒碼!!現在PC-Cillin2004已經可以偵測5隻!!不過這樣也顯示PC太依賴病毒碼,掃毒引擎相對較弱!!
F-secure (號稱最強的防毒軟體,採用F-prot,KAV雙防毒引擎) 偵測出五隻,且都是解壓縮時就已經發現,不過手動掃瞄找不到SRV.exe!
http://home.pchome.com.tw/service/hardlike/slime/f-secure.JPG
<<推薦>>Kaspersky Anti-Virus (KAV-俄羅斯防毒大廠,防火牆Kaspersky Anti-Hacker也很棒!!) 解壓縮發現五隻,手動掃瞄全部找到:
http://home.pchome.com.tw/service/hardlike/slime/kaspersky_test.JPG
(P.S. 若KAV更新X-files,一解壓縮就可以全部找到六隻!!)
Enet NOD32 : 通過最多Virus Bulletin 100% 測試 (https://www.virusbtn.com/vb100/archives/products.xml?eset.xml)的防毒軟體,卻一隻都沒找到(sorry無圖),不論是解壓縮或是手動掃描,有可能它判斷後門程式並不認為是病毒,有可能它在server上的表現比較優吧......不過....外國那些測試參考就好~
Mcafee Enterprise 7.0 中文企業版
小弟最近被朋友煩到不行,裝了Mcafee企業版來試試,發現其實很多人都說Mcafee比Norton強大,其實不然!!以下是7.0中文企業版掃出的結果,解壓縮就掃出來3隻(注意boxp.exe是重複的),不過手動掃描卻沒辦法發現其他3隻.....而最新的8.0(2004)VirusScan(sorry無圖)結果也是一樣........比起Norton最新2004中文版一解壓縮就發現5隻的功力實在差的遠~~~
http://home.pchome.com.tw/service/hardlike/slime/mcafee_enterprise_7.0.jpg
Zlock2003
http://home.pchome.com.tw/service/hardlike/slime/Zlock2003_1.JPG
(ps 以下對話取自敝人損友於PCDVD測試的文章,不代表本人立場)
嗯,我試用一下,發現Zlock2003的確很強,選項沒多少,不過防毒能力很強大,雖然解壓縮沒發現,不過手動掃描全部都找到了......證明其掃毒引擎的確厲害,不過相對的即時監控能力弱了點......
總是希望防毒軟體在第一時間解壓縮就能全部攔截,因為有些病毒帶有自動執行檔......
這樣看來,Zlock2003的先知掃毒系統果然厲害,完全顛覆我以前對金帥印象,我以前都認為Zlock比PC-Cillin爛,PC都這樣了,那Zlock我看也.........
不過,2003領先版要價2300......標準版也要990(領先版包含ZLOCK 2003標準版功能,另外,還規劃了SEV自體排毒/防火駭客牆/防爆牆三項功能)
稍嫌貴了點.......
試用版不能更新程式,要是我會選擇裝Kaspersky......至少一解壓縮就發現6隻,更別談手動掃描......不愧是最強的掃毒引擎.......
Panda AntiVirus Titanium 2004
解壓縮過程發現兩隻,其中WTC.exe沒有提醒就自行刪除!!
http://home.pchome.com.tw/service/hardlike/slime/panda2004_1.JPG
手動掃描未發現其他四隻:
http://home.pchome.com.tw/service/hardlike/slime/panda2004_2.JPG
P.S. 試用版只能線上更新一次,很ㄎㄡ的軟體(跟Zlock一樣!:corkysm: )想購買的朋友買正版吧,如果你真的很喜歡Panda的話!!
感想:
(1)有人說這些病毒有些是後門程式,木馬之類的咚咚,所以防毒軟體沒偵測出來不能代表什麼,不過換句話說,木馬也算病毒,難道不會危害電腦嗎? 所以沒找到還真的蠻遜的~
(2)由於小弟病毒來源不多,所以僅以史版提供該檔案測試,結果"僅供參考",沒有以偏蓋全的意思,大家應該選擇適合自己的防毒軟體,希望這篇主題能夠幫助一些剛接觸防軟的朋友
測試你防毒軟體的功力 (http://www.pczone.com.tw/vbb3/showthread.php?t=108893) 此篇參考!
注意:
(1) 此篇目的是測試防毒軟體,請勿拿病毒去害人,請自愛!
(2) 此篇跟原作者plunderer無關,提供的病毒檔僅供測試,無散佈病毒之意,是我們這些多事的人希望能讓大家知道自己防毒軟體的能力!
(3) 本人轉貼,提供意見,但不負任何損害各位電腦的責任,記得不要執行病毒檔,只有解壓縮保證沒事,請大家注意!!
(4) 主要測試為Backdoor/warm 後門跟蠕蟲的防護,結果僅供參考!!
以下文字來自於 史萊姆論壇病毒高人plunderer的文章,由於是付費vip區,所以不能提供連結:
-----------------------------------------------------------------------
最近出了很多知名的新版防毒軟體, 大家再來試試看吧...
此壓縮檔只是私人測試, 不具權威性及全面性, 其結果僅供參考...
壓縮檔內有六個常見測試體, 都不會自動產生作用, 請放心...但切勿執行, 只在檢視壓縮檔或解壓縮時測試就好了...測試完立即刪除並清理資源回收筒就沒事了, 不會有副作用
這些木馬後門或病毒在網路上隨便找就一堆, 若自認不可能碰到, 那就別試了...我只是提供這些東西的資訊給大家參考及測試, 想做 "其他用途"? 那就隨便你了, 不過後果自負....
再次強調: 別懷疑測試體無效, 測試用檢視壓縮檔或解壓縮就好, 不要去執行測試體!!!
http://www.zjjdaily.com/doc3/V_Test.rar
1 - 5 我沒動過, 可能原本就有加殼...6 為了安全, 我稍微改了一些
1. boxp.exe
赫赫有名的 Back Orifice 2000 (Bo2k)新版木馬被控端, 美國著名電腦地下組織 "死牛之祭"(專門攻擊微軟的組織) 的代表作, 若被成功植入並執行, 你的電腦就等於對方的電腦了...據說目前有些防毒軟體還查不出
2. SRV.exe
在大陸威名遠播的 "流光" Fluxay V5 被控端...說真的, 流光介面漂亮, 功能強, 是很好的遠程控制軟體, 被拿來當駭客工具太可惜了...
我看了一下SRV.exe內容, 不知被誰加了 PEShield + Aspack 的殼, 有些防毒軟體可能掃不到
3. win32.exe
冰河 8.2 被控端, 冰河是中美駭客大戰下的產物, 戰果輝煌...
此版隱蔽性很強, 被植入並執行後, 能穿過大部分防火牆, 若防毒軟體也查不出, 就要好好注意 "工作管理員" 內是否有 "ShellScrap.EXE" 這個程序了
4. invalid.exe
I-Worm.Invalid Win32.Invalid.A@mm 是透過 EMAIL 傳播的蠕蟲. 當附件被執行, 會檢查目前的 internet 連線, 如果目前沒有連線, 病毒的有效負載就會執行. 如果找到連線, 病毒將搜尋 my Documents 目錄中 *.ht* 檔案, 在找到的每個檔案中, 病毒將搜尋 mailto: 後面的字串, 並把這些字串作為外送郵件的地址. 如果過程中發生任何錯誤, 都將啟用有效負載. 當有效負載啟用後, 病毒搜尋目前目錄和上層目錄中的所有 exe 檔案, 使用隨機產生的鍵值對檔案進行加密, 使得這些檔案不能用
5. WTC.exe
美國 911恐怖襲擊事件後, 美國與伊斯蘭駭客大戰不斷升級, 以此為題的病毒也在網上現身
Win32.Vote@mm 又叫 "新投票病毒" 是第一個以911事件產生的病毒, 執行此病毒將刪除系統中的防毒軟體, 並在 windows 目錄下加入 MixDaLaL.vbs Zacker.vbs, 更改 IE 首頁設定, 並刪除 c:\windows 目錄, 嚴重時會格式化 C碟
更可怕的是此病毒會下載並安裝 Trojan 後門程式, 任何人都能完全控制受感染的電腦. 發佈大量 email 給 Outlook Express 中每位聯絡人, 覆蓋全部 HTM、HTML 檔案, 並修改 autoexec.bat及登錄檔
6. 硬碟DIE.html
原始檔我已修改及加密了, 怕被別人改去害人....
顧名思義, 瀏覽此網頁就立即 format 硬碟, 但這個代碼不像其他 format 硬碟的網頁炸彈那樣在進入時 IE 的安全設定會起作用, 此程序在背景執行, IE 安全設定不會提示 (因為一般安全層級預設為 "中"), 就算你的安全級別設為 "高", 在啟動系統時也會格式化. 若不能 format C碟, 就會刪除 SYSTEM 目錄的所有檔案
此程序是快速、強制、不詢問, 又是後門程序, 瀏覽網頁好像什麼也沒發生, 等你發現時硬碟已經被乾洗了...
預防萬一(不小心瀏覽), 我做了一些修改: 原本是 format C 到 H 代號的硬碟, 改成只有 H, 且只會刪除 c:\windows\temp 無效的暫存檔...若你剛好有 H碟, 那你千萬別開啟這個網頁
別閉門造車啊, 測試完回覆一下, 讓大家討論參考
----------------------------------------------------------------------
(PS 以下圖片轉貼至Slime論壇,已徵求原貼圖作者同意)
小弟玩了 Norton AntiVirus 2004、PC-cillin 2004、F-Secure 5.5、Kaspersky Anti-Virus 4.5、ESet NOD32、Macfee enterprise 7中文企業版、Zlock2003.....均更新最新病毒碼,以下是結果:
Norton 2004 中文版
首先先設定,因為預設的設定對木馬後門防禦較鬆
http://home.pchome.com.tw/service/hardlike/slime/norton2004ch_setting0.JPG
http://home.pchome.com.tw/service/hardlike/slime/norton2004ch_setting1.JPG
解壓縮後發現五隻:
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_0.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_1.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_2.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_3.JPG
http://home.pchome.com.tw/service/hardlike/slime/Norton2004ch_4.JPG
手動掃瞄沒找到SRV.exe!
PC-cillin 2004 解壓縮沒發現,手動也沒發現!! (有時候真懷疑那些測試雜誌是不是收錢了@@)
http://home.pchome.com.tw/service/hardlike/slime/pccillin2004.jpg
注意:PC-Cillin 2004測試結果確定是上圖,一隻都沒找到!!!之後Trend可能發現該討論(其實在史版就開始發燒了),不排除有Trend的業代或是engineer在該討論區發現,所以更新病毒碼!!現在PC-Cillin2004已經可以偵測5隻!!不過這樣也顯示PC太依賴病毒碼,掃毒引擎相對較弱!!
F-secure (號稱最強的防毒軟體,採用F-prot,KAV雙防毒引擎) 偵測出五隻,且都是解壓縮時就已經發現,不過手動掃瞄找不到SRV.exe!
http://home.pchome.com.tw/service/hardlike/slime/f-secure.JPG
<<推薦>>Kaspersky Anti-Virus (KAV-俄羅斯防毒大廠,防火牆Kaspersky Anti-Hacker也很棒!!) 解壓縮發現五隻,手動掃瞄全部找到:
http://home.pchome.com.tw/service/hardlike/slime/kaspersky_test.JPG
(P.S. 若KAV更新X-files,一解壓縮就可以全部找到六隻!!)
Enet NOD32 : 通過最多Virus Bulletin 100% 測試 (https://www.virusbtn.com/vb100/archives/products.xml?eset.xml)的防毒軟體,卻一隻都沒找到(sorry無圖),不論是解壓縮或是手動掃描,有可能它判斷後門程式並不認為是病毒,有可能它在server上的表現比較優吧......不過....外國那些測試參考就好~
Mcafee Enterprise 7.0 中文企業版
小弟最近被朋友煩到不行,裝了Mcafee企業版來試試,發現其實很多人都說Mcafee比Norton強大,其實不然!!以下是7.0中文企業版掃出的結果,解壓縮就掃出來3隻(注意boxp.exe是重複的),不過手動掃描卻沒辦法發現其他3隻.....而最新的8.0(2004)VirusScan(sorry無圖)結果也是一樣........比起Norton最新2004中文版一解壓縮就發現5隻的功力實在差的遠~~~
http://home.pchome.com.tw/service/hardlike/slime/mcafee_enterprise_7.0.jpg
Zlock2003
http://home.pchome.com.tw/service/hardlike/slime/Zlock2003_1.JPG
(ps 以下對話取自敝人損友於PCDVD測試的文章,不代表本人立場)
嗯,我試用一下,發現Zlock2003的確很強,選項沒多少,不過防毒能力很強大,雖然解壓縮沒發現,不過手動掃描全部都找到了......證明其掃毒引擎的確厲害,不過相對的即時監控能力弱了點......
總是希望防毒軟體在第一時間解壓縮就能全部攔截,因為有些病毒帶有自動執行檔......
這樣看來,Zlock2003的先知掃毒系統果然厲害,完全顛覆我以前對金帥印象,我以前都認為Zlock比PC-Cillin爛,PC都這樣了,那Zlock我看也.........
不過,2003領先版要價2300......標準版也要990(領先版包含ZLOCK 2003標準版功能,另外,還規劃了SEV自體排毒/防火駭客牆/防爆牆三項功能)
稍嫌貴了點.......
試用版不能更新程式,要是我會選擇裝Kaspersky......至少一解壓縮就發現6隻,更別談手動掃描......不愧是最強的掃毒引擎.......
Panda AntiVirus Titanium 2004
解壓縮過程發現兩隻,其中WTC.exe沒有提醒就自行刪除!!
http://home.pchome.com.tw/service/hardlike/slime/panda2004_1.JPG
手動掃描未發現其他四隻:
http://home.pchome.com.tw/service/hardlike/slime/panda2004_2.JPG
P.S. 試用版只能線上更新一次,很ㄎㄡ的軟體(跟Zlock一樣!:corkysm: )想購買的朋友買正版吧,如果你真的很喜歡Panda的話!!
感想:
(1)有人說這些病毒有些是後門程式,木馬之類的咚咚,所以防毒軟體沒偵測出來不能代表什麼,不過換句話說,木馬也算病毒,難道不會危害電腦嗎? 所以沒找到還真的蠻遜的~
(2)由於小弟病毒來源不多,所以僅以史版提供該檔案測試,結果"僅供參考",沒有以偏蓋全的意思,大家應該選擇適合自己的防毒軟體,希望這篇主題能夠幫助一些剛接觸防軟的朋友