诺顿啊,面对“下载者”怎能不作为!
不小心用IE浏览时被恶意钓鱼网站利用Realplayer的漏洞植入了下载者病毒。可以穿透还原卡。而这类下载者也是最近热门的病毒。但是笔者的系统中的诺顿已经升级到最新版本,却对该病毒毫无反应。
今天,笔者手动杀了毒后,将病毒样本上传到多引擎网站扫描,得到了第一手的病毒扫描报告。
第一份报告:
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.0.0.126 2008.02.19 2008-02-19 9.98 -
安博士V3 2008.02.19.00 2008.02.19 2008-02-19 1.62 -
AntiVir 7.6.0.67 7.0.2.156 2008-02-19 6.46 TR/Dldr.Delf.epw.1
Arcavir 1.0.4 200802181833 2008-02-18 5.02 Heur.Win32.I
AVAST 1.0.8 080218-0 2008-02-18 5.12 -
AVG 7.5.51.442 269.20.7/1286 2008-02-18 4.58 -
BitDefender 7.60825.981798 7.17604 2008-02-19 13.07 -
CA (VET) 9.0.0.143 31.3.5549 2008-02-19 4.54 -
ClamAV 0.92 5885 2008-02-19 0.01 PUA.Packed.UPack-2
Comodo 2.11 2.0.0.440 2008-02-19 1.83 -
CP Secure 1.1.0.695 2008.02.15 2008-02-15 15.08 -
Dr.WEB 4.44.0.9170 2008.02.19 2008-02-19 5.90 DLOADER.Trojan
ewido 4.0.0.2 2008.02.19 2008-02-19 5.77 Downloader.Delf.epw
F-PROT 4.4.1.52 20080218 2008-02-18 1.83 Possible W32/Heuristic-162!Eldorado (damaged, not disinfectable)
F-SECURE 5.51.6100 2008.02.19.01 2008-02-19 8.54 Trojan-Downloader.Win32.Delf.epw [AVP]
飞塔 2.81-3.11 8.773 2008-02-20 6.04 Suspicious
ViRobot 20080219 2008.02.19 2008-02-19 0.84 -
IKARUS T3.1.01.20 2008.02.18.70329 2008-02-18 4.62 Trojan-Downloader.Win32.Zlob.and
江民杀毒 10.00.650 2008.02.19 2008-02-19 2.77 TrojanDownloader.Delf.ifg
卡巴斯基 5.5.10 2008.02.19 2008-02-19 30.91 Trojan-Downloader.Win32.Delf.epw
金山毒霸 2007.6.20.249 2008.2.19 2008-02-19 1.57 Win32.TrojDownloader.Delf.43008
迈克菲 5.2.00 5232 2008-02-18 10.27 New Malware.aj
Microsoft 1.3204 2008.02.20 2008-02-20 8.08 TrojanDownloader:Win32/Small.gen!Z
MKS_VIR 2.01 2008.02.17 2008-02-17 10.95 Heur.Win32
NORMAN 5.91.10 5.90 2008-02-18 25.84 W32/Suspicious_U.gen
熊猫卫士 9.04.03.0001 2008.02.19 2008-02-19 6.46 -
趋势 8.500-1001 5.114.02 2008-02-19 4.71 -
Prevx V2 20080220 2008-02-20 4.21 -
QuickHeal 9.00 2008.02.19 2008-02-19 3.23 TrojanDownloader.Delf.epw
第二份报告:
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 - - -
AntiVir - - TR/Dldr.Delf.epw.1
Authentium - - Possibly a new variant of W32/NewMalware-LSU-based!Maximus
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - PUA.Packed.UPack-2
DrWeb - - DLOADER.Trojan
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/Heuristic-162!Eldorado
F-Secure - - Trojan-Downloader.Win32.Delf.epw
Ikarus - - Trojan-Downloader.Win32.Zlob.and
Kaspersky - - Trojan-Downloader.Win32.Delf.epw
McAfee - - New Malware.aj
Microsoft - - TrojanDownloader:Win32/Small.gen!Z
NOD32v2 - - -
Norman - - W32/Suspicious_U.gen
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/Packer
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - W32/Behav-Heuristic-060
VBA32 - - suspected of Embedded.Trojan-Downloader.Win32.Delf.eqf
VirusBuster - - Packed/Upack
Webwasher-Gateway - - Trojan.Dldr.Delf.epw.1
可以看出,Symantec,即诺顿,对该病毒毫无反应。而瑞星也有类似情况。一直被吹嘘的查杀未知病毒能力很强的NOD32也是没有发现病毒。倒反是后门很大关注度不高的Microsoft查出了病毒。
好,姑且不讨论其它杀毒软件如何。Symantec作为不少家庭用户和企业用户的首选,却对新病毒没有预警和处理措施,这样的杀毒软件,怎么能保护用户系统安全?病毒不能杀,难道只能搞出些“误杀门”时间把用户系统的正常而且是关键关键杀掉吗?!
诺顿虽然是自主开发的杀毒引擎,虽然得到微软的“天使眷顾”得以一窥微软操作系统的源代码,但结果是杀毒软件深深注入系统却没有良好的病毒样本库,最后这些深驻系统的特性只能用来为误杀系统文件提供方便。
笔者也想到给诺顿的官方网站提供病毒样本,然而游遍了整个赛门铁克中文网站,却没发现有病毒提交页面。是否如此的“闭关锁国”也从另一方面正印证了诺顿的病毒库缺陷?
笔者后怕之处是,幸亏笔者在病毒发作第一时间发现有可疑程序联网请求,从而马上切断病毒进程。如果笔者相信诺顿,又或者没有来得及切断病毒进程的话,那么 笔者也已经成为了“下载者”的受害者了。本来想在授权期到后续费诺顿的授权,现在看来不必了……诺顿啊,叫我怎么说你的垃圾。