测试了ESS与U盘威胁
关于NOD32无法防御部分U盘病毒的说明:
很早以前听说某位开着ESS却被U盘病毒干翻的事情,觉得很奇怪,专门试了试,当时ESS报警,就片面的觉得这位仁兄的遭遇应该是人品问题,不是ESS的问题。
可是今天动了脑筋,又试了试,发现ESS 3.0.667确实被过,让人很是郁闷。
这两次的区别就是以前测试的样本可被ESS病毒库查杀,所以轻松的被ESS检出,这回特意找了个不被病毒库查杀,但是可被高启查杀的病毒,看看效果如何;
1、先恢复ESS默认配置,做了个autorun.inf,将其指向病毒文件,插入U盘,打开“我的电脑”点击U盘盘符,呜呜呜,在毛豆的监控下,可见病毒已经运行,注册表写入了一堆,又开始调用CMD和Wscript,反正很惨。
2、将“文件实时防护”的高启发和脱壳检测打开,嘻嘻……,这会好使了,一双点U盘盘符,提示程序无法运行,ESS弹框报毒,成功将病毒干掉。
原理分析如下:
1、由于ESS默认只对新建文件和被修改的文件开启高启发扫描,但是U盘内的文件,ESS认为不是新建或被修改的文件,自然就不会启用高启发扫描,大家也都知道,ESS的核心是高启发,如果只靠病毒库,连X星的毛都不如,所以病毒得以成功运行。
2、而一旦开启了“文件实时监控”的高启发,那么程序运行前,是要经过高启查毒的,这样ESS马上凭借高启发扫描到病毒。
管理员承诺修复
结论:
ESS在默认配置下不能很好的防范U盘病毒。
提醒:
1、鉴于U盘病毒的猖獗,如果没有屏蔽inf,就请大家打开“文件实时防护”的高启发和脱壳选项,虽然偶尔计算机卡些,但是效果是一流的。
2、ESET国际官论管理员Marcos承诺将在下一个主程序升级时处理这个问题:
引自http://www.wilderssecurity.com/showthread.php?t=213878 引用:
The simplest thing you can do is disable the autorun feature. Also you can enable advanced heuristics and runtime packers on file access in the real-time protection setup, but this may result in a performance slowdown as all files would be emulated before they are run. For this reason, the next major program update will have scanning of removable media improved.
网友评论