May 09 2008

Anti-Malware Test Lab 2008年3月多态病毒测试

Published by Donald at 10:40 pm under 最新测试

今天在卡巴斯基官方网站上发现了一个它参与的评测成绩页面,由此,继续顺藤摸瓜。今天介绍的是曾经在我的另一篇文章里提到过的Anti-Malware Test Lab测试。时间所限,今天先看最新的多态病毒部分。

关于多态病毒的知识,大家可以参考下又一篇文章

如之前文章提到的,多态病毒可以算是最难检测的一类病毒了,因为它在每次感染电脑时都会改变它的”形态”,也就是会生成不同的样本。在面对多态病毒时,传统意义上的针对某特定病毒的杀毒软件特征码很容易因为病毒自身代码的改变而无法检出,由此也带来了严重的安全问题。所以对多态病毒的检测能力也反映了一个杀软开发者的技术实力,一般而言对于一个系列的多态病毒都会专门开发针对它的检测算法…当然,这年头,好像多态病毒并不多见了,”与其炫耀技术不如搞点钱”…

参与测试厂商:

  1. Agnitum Outpost Security Suite Pro 2008 (VirusBuster)
  2. Avast Professional Edition 4.7
  3. AVG Anti-Virus Professional Edition 7.5
  4. Avira Antivir Personal Edition Classic 7.06
  5. BitDefender Anti-Virus 2008
  6. DrWeb 4.44
  7. Eset Nod32 Antivirus 3.0
  8. F-Secure Anti-Virus 2008
  9. Kaspersky Anti-Virus 7.0
  10. McAfee VirusScan 2008
  11. Microsoft Windows Live OneCare 2.0 Pre-Release
  12. Panda Antivirus 2008
  13. Sophos Anti-Virus 7.0
  14. Symantec Anti-Virus 2008
  15. Trend Micro Antivirus plus Antispyware 2008
  16. VBA32 Workstation 3.12.6

测试步骤:

首先各杀软按照其推荐设置安装,并且该重启重启该升级升级,没有进行设置改动,仅将扫描类别改为”扫描所有文件”。

然后打开虚拟机

再然后采用On-Demand方式扫描样本(就是我们说的手动扫描)

再再然后,把没检测出来的样本记下来


测试样本家族(括号中为各厂商对此病毒定义):

  1. Allaple.1 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.a, Net-Worm.Win32.Allaple.d);
  2. Allaple.2 (Symantec: W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.b);
  3. Allaple.3 (Symantec: W32.Rahack.H; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.d, Net-Worm.Win32.Allaple.e);
  4. Allaple.4 (Symantec: W32.Rahack.H, W32.Rahack.W; DrWeb: Trojan.Starman; Kaspersky Lab: Net-Worm.Win32.Allaple.e, Net-Worm.Win32.Allaple.d);
  5. Alman.1 (Symantec: W32.Almanahe.A!inf, W32.Almanahe.B!inf, W32.Fubalka.B …; DrWeb: Win32.Alman.2, Win32.Alman.3; Kaspersky Lab: Virus.Win32.Alman.a);
  6. Alman.2 (Symantec: W32.Almanahe.B!inf, W32.HLLW.Oror.B@mm, W32.Bustoy, W32.SillyDC …; DrWeb: Win32.Alman; Kaspersky Lab: Virus.Win32.Alman.b);
  7. Twido.1 (Avira: W32/Tvido; DrWeb: Win32.Dwee.2887, Win32.Dwee.3029; Kaspersky Lab: Virus.Win32.Tvido.a);
  8. Twido.2 (Avira: W32/Tvido.B; DrWeb: Win32.Dwee.2; Kaspersky Lab: Virus.Win32.Tvido.b);
  9. Virut.2 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Ifbo.A, W32.Virut.H …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.n, Backdoor.Win32.VanBot.bh, Backdoor.Win32.VanBot.ax …);
  10. Virut.3 (Symantec: W32.Virut.B, W32.Virut!gen, W32.Virut.R, Downloader …; DrWeb: Win32.Virut.5, Trojan.MulDrop.5684, Trojan.DownLoader.24029, Trojan.Fakealert.257 …; Kaspersky Lab: Virus.Win32.Virut.n, Virus.Win32.Virut.m, Virus.Win32.Virut.q, Trojan.Win32.Agent.bnj, Trojan.Win32.Agent.qt …);
  11. Virut.4 (Symantec: W32.Virut.U, Trojan Horse, W32.Virut.R, W32.Virut!gen, Downloader …; DrWeb: Win32.Virut.5; Kaspersky Lab: Virus.Win32.Virut.q, Trojan-Downloader.Win32.VB.awj, Trojan-PSW.Win32.OnLineGames.yn …).
    The initial test sample was composed of malicious programs circulating on the Internet, as well as those from antivirus vendors that expressed a willingness to cooperate in the testing process.

共11个家族,总共生成30000个样本(每家族500到8000个样本)…


对各多态家族检出率的评分规则

3分:100%查杀某家族所有样本,特征码算法设计合理

2分:99%-100%的家族样本被检出,特征码算法略有缺陷

1分:90%-99%的家族样本被检出,特征码算法有错误

0分:低于90%的家族样本被检出,对此家族样本设计的特征码算法开发有误或不存在

奖项:

金奖

Avira Antivir Personal Edition Classic 7.06
(31 out of 33 points)
F-Secure Anti-Virus 2008 (31 out of 33)
Kaspersky Anti-Virus 7.0 (31 out of 33)


银奖

Avast Professional Edition 4.7 (25 out of 33)
AVG Anti-Virus Professional Edition 7.5
(22 out of 33)
DrWeb 4.44 (21 out of 33)
ESET Nod32 Antivirus 3.0 (20 out of 33)


铜奖

Microsoft Windows Live OneCare 2.0 Pre-Release
(19 out of 33)
Trend Micro Antivirus plus Antispyware 2008 (18 out of 33)
Symantec Anti-Virus 2008 (17 out of 33)
BitDefender Anti-Virus 2008 (16 out of 33)
Agnitum Outpost Security Suite Pro 2008
(15 out of 33)
Sophos Anti-Virus 7.0 (14 out of 33)
Panda Antivirus 2008 (14 out of 33)
VBA32 Workstation 3.12.6 (14 out of 33)


失败

McAfee VirusScan 2008 (11 out of 33)



本次测试的详细情况,大家可以点击这里查看,各样本检出细节,大家可以点击这里


本文小图片有点多,又不想链人家原文的图,那么,我链回本Blog用的相册吧。链回去啊链回去

Creative Commons License
The Anti-Malware Test Lab 2008年3月多态病毒测试 by Donald, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 China Mainland License.

相关文章

2 Responses to “Anti-Malware Test Lab 2008年3月多态病毒测试”

  1. xxxl Says:
    05月 10th, 2008 at 1:59 pm

    这玩玩意貌似可以查杀一下公司局域网里的病毒。

    [Reply]

    Donald reply on 05月 10, 2008 6:26 pm:

    …xxxl明显没看文章….

    [Reply]

Leave a Reply