供稿种子Anti-Malware Test Lab 2008年3月多态病毒测试
今天在卡巴斯基官方网站上发现了一个它参与的评测成绩页面,由此,继续顺藤摸瓜。今天介绍的是曾经在我的
另一篇文章里提到过的Anti-Malware Test Lab测试。时间所限,今天先看最新的多态病毒部分。
关于多态病毒的知识,大家可以参考下又一篇文章。
如之前文章提到的,多态病毒可以算是最难检测的一类病毒了,因为它在每次感染电脑时都会改变它的”形态”,也就是会生成不同的样本。在面对多态病毒时,传统意义上的针对某特定病毒的杀毒软件特征码很容易因为病毒自身代码的改变而无法检出,由此也带来了严重的安全问题。所以对多态病毒的检测能力也反映了一个杀软开发者的技术实力,一般而言对于一个系列的多态病毒都会专门开发针对它的检测算法…当然,这年头,好像多态病毒并不多见了,”与其炫耀技术不如搞点钱”…
参与测试厂商:
- Agnitum Outpost Security Suite Pro 2008 (VirusBuster)
- Avast Professional Edition 4.7
- AVG Anti-Virus Professional Edition 7.5
- Avira Antivir Personal Edition Classic 7.06
- BitDefender Anti-Virus 2008
- DrWeb 4.44
- Eset Nod32 Antivirus 3.0
- F-Secure Anti-Virus 2008
- Kaspersky Anti-Virus 7.0
- McAfee VirusScan 2008
- Microsoft Windows Live OneCare 2.0 Pre-Release
- Panda Antivirus 2008
- Sophos Anti-Virus 7.0
- Symantec Anti-Virus 2008
- Trend Micro Antivirus plus Antispyware 2008
- VBA32 Workstation 3.12.6
测试步骤:
首先各杀软按照其推荐设置安装,并且该重启重启该升级升级,没有进行设置改动,仅将扫描类别改为”扫描所有文件”。
然后打开虚拟机
再然后采用On-Demand方式扫描样本(就是我们说的手动扫描)
再再然后,把没检测出来的样本记下来
测试样本家族(括号中为各厂商对此病毒定义):
- Allaple.1 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.a, Net-Worm.Win32.Allaple.d);
- Allaple.2 (Symantec: W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.b);
- Allaple.3 (Symantec: W32.Rahack.H; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.d, Net-Worm.Win32.Allaple.e);
- Allaple.4 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.e, Net-Worm.Win32.Allaple.d);
- Alman.1 (Symantec: W32.Almanahe.A!inf, W32.Almanahe.B!inf, W32.Fubalka.B …; DrWeb: Win32.Alman.2, Win32.Alman.3; Kaspersky Lab: Virus.Win32.Alman.a);
- Alman.2 (Symantec: W32.Almanahe.B!inf, W32.HLLW.Oror.B@mm, W32.Bustoy, W32.SillyDC …; DrWeb: Win32.Alman; Kaspersky Lab: Virus.Win32.Alman.b);
- Twido.1 (Avira: W32/Tvido; DrWeb: Win32.Dwee.2887, Win32.Dwee.3029; Kaspersky Lab: Virus.Win32.Tvido.a);
- Twido.2 (Avira: W32/Tvido.B; DrWeb: Win32.Dwee.2; Kaspersky Lab: Virus.Win32.Tvido.b);
- Virut.2 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Ifbo.A, W32.Virut.H …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.n, Backdoor.Win32.VanBot.bh, Backdoor.Win32.VanBot.ax …);
- Virut.3 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Virut.R, Downloader …; DrWeb: Win32.Virut.5, Trojan.MulDrop.5684, Trojan.DownLoader.24029, Trojan.Fakealert.257 …; Kaspersky Lab: Virus.Win32.Virut.n, Virus.Win32.Virut.m, Virus.Win32.Virut.q, Trojan.Win32.Agent.bnj, Trojan.Win32.Agent.qt …);
- Virut.4 (Symantec: W32.Virut.U, Trojan Horse, W32.Virut.R, W32.Virut!gen, Downloader …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.q, Trojan-Downloader.Win32.VB.awj, Trojan-PSW.Win32.OnLineGames.yn …).
The initial test sample was composed of malicious programs circulating on the Internet, as well as those from antivirus vendors that expressed a willingness to cooperate in the testing process.
共11个家族,总共生成30000个样本(每家族500到8000个样本)…
对各多态家族检出率的评分规则
3分:100%查杀某家族所有样本,特征码算法设计合理
2分:99%-100%的家族样本被检出,特征码算法略有缺陷
1分:90%-99%的家族样本被检出,特征码算法有错误
0分:低于90%的家族样本被检出,对此家族样本设计的特征码算法开发有误或不存在
奖项:
金奖
Avira Antivir Personal Edition Classic 7.06
(31 out of 33 points)
F-Secure Anti-Virus 2008 (31 out of 33)
Kaspersky Anti-Virus 7.0 (31 out of 33)
银奖
Avast Professional Edition 4.7 (25 out of 33)
AVG Anti-Virus Professional Edition 7.5
(22 out of 33)
DrWeb 4.44 (21 out of 33)
ESET Nod32 Antivirus 3.0 (20 out of 33)
铜奖
Microsoft Windows Live OneCare 2.0 Pre-Release
(19 out of 33)
Trend Micro Antivirus plus Antispyware 2008 (18 out of 33)
Symantec Anti-Virus 2008 (17 out of 33)
BitDefender Anti-Virus 2008 (16 out of 33)
Agnitum Outpost Security Suite Pro 2008
(15 out of 33)
Sophos Anti-Virus 7.0 (14 out of 33)
Panda Antivirus 2008 (14 out of 33)
VBA32 Workstation 3.12.6 (14 out of 33)
失败
McAfee VirusScan 2008 (11 out of 33)
本次测试的详细情况,大家可以点击这里查看,各样本检出细节,大家可以点击这里。
本文小图片有点多,又不想链人家原文的图,那么,我链回本Blog用的相册吧。链回去啊链回去。
本人严正声明:Wordpress分类与COMODO分类文章均为原创,在全世界只有一个作者。本人是该分类文章的唯一合法代表。自古以来本人一直对该分类文章行使着主权。该分类文章的标题出处是文章正文不可分割的一部分,任何企图转载此分类文章不留出处,或恶意采集修改该分类文章的行为,都必将遭到包括中国人民在内的全世界人民的反对!各族人民反对文章标题出处与正文分裂、维护原文统一、维护原文稳定的决心是坚定不移的,任何破坏原文完整性、恶意采集转载的图谋都是不得人心的,是注定要失败的。
如需转载请按照 署名-非商业性使用-禁止演绎方式,并请注明: 转载自作甚@ZUOSHEN.COM
| 
这玩意貌似可以查杀一下公司局域网里的病毒。
…xxxl明显没看文章….