最近一段时间,因360和腾讯斗争进而衍生出的有关免费杀毒软件和付费杀毒软件之间的比较再度引起了人们的关注,无独有偶,在差不多的时候国外也产生了一些有关免费与收费杀毒软件的讨论。
最近一段时间,因360和腾讯斗争进而衍生出的有关免费杀毒软件和付费杀毒软件之间的比较又再度引起了人们的关注,无独有偶,在差不多的时候国外也产生了一些有关免费与收费杀毒软件的讨论,那么就让我们来了解一下吧。
事件的起因是,作为免费软件的微软安全套装MSE在一次手动完全扫描中查出了被很多收费软件所遗漏的病毒。一般我们安装完杀毒软件后,主要通过实时防护来防止病毒入侵,很少会使用杀毒软件的定期扫描功能。机缘巧合下,使用MSE进行了一次完整扫描,总数据量大约为1TB,当他外出转了一圈回来后,看到了如下结果:
显然,MSE发现几个有问题的文件。一个是含有恶意代码的PDF文件。其他则是隐藏在Java缓存文件夹中某个文件里的可攻击漏洞,根据扫描日志,很快找到这个文件并将其上传到一个在线文件扫描网站:Virustotal.com(这是一个免费的在线文件扫描网站,它能调用多达43种不同的安全软件引擎来分析你上传的可疑文件)。
很快结果就出来了,这确实是一个含有威胁的文件,通过文件hash比对发现该文件已有其他用户上传分析过,调用结果后可知的确是有问题。特别的,对于这个文件,Virustotal.com所使用的43款引擎中,只有17款能检测出来,能检测出的引擎里,比较知名的包括微软MSE、赛门铁克、Avast,F-Secure等。
事情还没完,随后他将这个文件作为样本通过邮件发送给了三家安全厂商,请他们进行重新分析以确认是否真的是恶意程序。
微软给出的回复摘要如下:1、该文件确为恶意程序,有关CVE-2008-5353的漏洞报告,在2010年第三季度超过350万次,类似这种Java漏洞攻击,在今年有明显的上升趋势。单单这个文件,在过去6个月里已经在全球范围里发现超过4万个。2、在这份10月的报告中,有进一步的相关描述,及客户应采取的措施,以确保他们得到保护。
另外,根据微软提供的信息,这个恶意代码可以被1.85.1774.0以上版本的病毒库识别(该版本病毒库发布于于7月9日)。
第二家厂商McAfee的回复要简单得多:我们的实验室团队在分析了你送来的文件后确认它的确为恶意程序。我们正在制定新的安全规则来对付这类含有恶意代码的JAR文件,这个文件的Hash值已经添加到规则中。也就是说,在新规则更新前,该恶意文件McAfee还不能检测到。
第三家厂商Sunbelt的回应如下:该文件为Java类的恶意程序,它利用了CVE-2008-5353漏洞,我们正在测试相关的病毒库更新并且会很快发布。结果和McAfee一样,也要等更新后才能检测到。
进一步查阅CVE网站后发现,这个CVE-2008-5353的漏洞早有记录,它存在于:Java运行库 JRE 6 Update 10以及更早的版本;JDK和JRE 5.0 Update 16及更早版本;SDK和JRE 1.4.2_18及更早版本中。只要你升级过上述版本,即可堵上该漏洞。同样的,之前被查出有问题的PDF文件,也只影响早期版本的PDF阅读器,保持更新就没事。这也从侧面体现出保持软件更新的重要性。
有趣的是,就在不久前,当微软宣布通过Windows Update来推广自己的免费杀毒软件时,McAfee曾表示免费杀毒软件远不如自己的产品好。可是至少在这次的较量中,免费软件MSE技高一筹。
尽管这次无意中的比较只是一个个案,但它至少表明杀毒软件产品之间的差别并不只是简单的免费和付费,即使是最好的分析研究人员也会有纰漏。所以又有了以下这个实例,并且这两个案例彼此还有很大联系:
在这位用户把上述个案内容写在博客上发布后,有人在评论里留下了一个网址链接,并宣称是有关微软和McAfee的一个视频报告。点击过去后,会在页面上看到一个视频窗口,但是显示当前食品无法播放,原因是缺少相应插件,后面还很贴心的加上了下载链接。
有经验的用户很容易想到这是一个陷阱,事实上它也的确是一个陷阱,并且是老掉牙的那种。点击那个下载链接后会下载一个exe文件,用一个尚无杀毒软件的系统下载后,传到 Virustotal.com 上进行分析,结果有 15/43 的引擎将它判定为恶意程序。
MSE将其判定为木马下载器类的恶意程序 TrojanDownloader:Win32/Waledac.C ;McAfee方面,Gateway版本提示为可疑文件会阻止其运行,但不是所有产品都能识别。
网友评论