针对读者爆料,董师傅制定了一个测试方案:使用正常情况下不会被查杀的具有病毒文件名的空文本文件和《木马杀客》的自身文件来测试《木马杀客》存在“根据文件名判断”的问题;用木马病毒样本和修改了文件容量的木马病毒样本来对比测试《木马杀客》存在“根据文件容量判断”的问题。
文件名=木马?董师傅下载安装了《木马杀客》(2007beta1版本)并更新到最新的病毒库。首先在《木马杀客》的安装目录中建立一个空的文本文件,并重命名为:lsass.exe(注释:lsass.exe原本是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登录策略。但是:lsass.exe也是诸如Windang.worm、irc.ratsou.b等病毒或者木马经常使用的一个文件名)。通过手工查杀的方式扫描安装目录,结果发现木马病毒(图1)。
图1 那么《木马杀客》是不是只对lsass.exe这个文件名敏感呢?董师傅决定继续用其他病毒文件名进行测试。
建立3个空文本文件,分别命名为G_server.exe、G_server.dll和G_server_hook.dll(注明:这3个文件名是木马《灰鸽子》的文件名),再次用《木马杀客》进行查杀,提示发现灰鸽子木马(图2)。图2 接下来,董师傅决定用《木马杀客》自身程序文件来验证。董师傅复制了3个《木马杀客》的主程序文件,将文件名修改为《灰鸽子》的文件名。然后用《木马杀客》查杀,《木马杀客》再次发现《灰鸽子》木马。
铁证如山,《木马杀客》确实是通过文件名来查杀木马病毒的。
文件大小=木马?空的文件被当成病毒很荒诞,自己的文件也当作木马病毒更搞笑。那么,当用户碰到真的木马病毒的时候,《木马杀客》的表现又会如何呢?董师傅再进行了以下的验证。
董师傅下载了中国病毒联盟的木马病毒库样本,复制了一个名为10.exe的木马病毒文件到安装目录,进行查杀,《木马杀客》发现了木马病毒(图3)。图3 提示的木马信息比较可信,《木马杀客》对它进行了删除处理。但这仍然不能说明《木马杀客》是完全胜任木马查杀重任。正常的杀毒软件是通过病毒特征码来查杀病毒的,病毒改变文件容量后仍然可以被查杀,那么《木马杀客》是否像读者反映的那样,是通过文件容量来查杀木马病毒的呢?
因此董师傅决定使用改变了容量的木马病毒样本来测试《木马杀客》。董师傅给木马文件添加了区段来改变文件容量(图4)。
图4 木马病毒样本文件容量从469KB增加到了472KB。再使用《木马杀客》查杀时,未发现木马病毒。然而,使用NOD32查杀时,仍能发现木马病毒(图5)。
图5 这说明《木马杀客》存在通过文件容量查杀木马病毒的问题。为了获得更加充分的证据,董师傅决定对缩小了文件容量的木马病毒进行测试。于是,董师傅把木马文件分割成10块。再使用《木马杀客》查杀无法发现木马病毒。同样使用NOD32查杀发现了7个木马病毒。
以上只是对一个木马病毒样本的测试。为了证实《木马杀客》对木马病毒通过容量来查杀的普遍性,董师傅又复制了木马病毒库中的17.exe和19.exe进行相同的验证操作。一般情况下,木马杀客可以正常查杀。当给17.exe和19.exe增加区段时木马杀客无法查杀,NOD32可以查杀;把17.exe和19.exe分成10块时,《木马杀客》也无法查杀。
测试结论——《木马杀客》徒有虚名通过以上验证,《木马杀客》的查杀方式是通过文件名和文件容量,与它宣称的采用病毒特征库的方式相去甚远。它的病毒特征库很可能只是木马文件名和木马文件容量而已,这真的是天大的骗局。
《木马杀客》通过一种低级判断木马的方式来保护系统不受侵害,这简直就是天方夜谭。同时,《木马杀客》完全不具备对加壳木马的识别,可以说是徒有虚名。补充资料:
《木马杀客》是一款免费软件,作者可以捐赠的方式盈利。《木马杀客》号称采用杀毒引擎辨别特征码和传统病毒库辨别,能够查杀多种木马。《木马杀客》在多个网站均有下载,且下载量较大。总结
现在的反木马软件基本上可以分为两大阵营:全能力的杀毒软件,通杀所有病毒和木马。乍一看,木马专杀软件“术业有专攻”似乎更胜一筹,用户容易对之产生信任感。然而通过验证,国内部分木马病毒专杀工具的能力让人怀疑,不可轻易相信软件作者的一面之词,用户应该慎用这类软件,以免感染木马病毒。董师傅对比发现:全能力的杀毒软件普遍采用了病毒特征库,即使病毒改变文件名或者改变容量也能准确查杀。用户应该安装知名软件公司的杀毒软件来提高系统安全性,防范木马病毒,切不可贪图便宜而受骗上当,否则可能造成更大的损失。
,木马杀客浪得虚名