自己动手测试一下看看PCSL对KV2009的评测是否名至实归。
评测样本
那接下来就是选择合适的样本了,
样本方面,我选择了3个PCSL在其英文主站列出的malware list中的病毒,
另外,还选取了一个破坏力比较强的,通过优盘传播的木马。
其中,这3个PCSL的样本由于在11月份还是新病毒,因此绝大多数杀毒软件还没有入库。因此扫描是不会报毒的,这也为我们测试主动防御提供了便利。
当然,这些病毒现在早已入库了,在升级KV2009至最新病毒库后,这些样本都被KV09正确识别并清除了。
以上图中的PLAY-MOVIE.exe为例,这是一个会释放木马文件的恶意软件,可以看到,病毒是在2008-10-31最终完成的。
通过将病毒送到分析网站,并通过其命名来回查入库日期,可以发现,F-Secure 是在08-11-02 入库的,江民KV2009是在08-11-04入库的,而Sunbelt是在08-11-06入库的。
大家可以看到,在病毒文件被病毒作者制作出来之后,到病毒文件的特征码真正被添加到杀毒软件的病毒之间,有几天的“真空期”,在这几天内,对于这些未知病毒,一般的基于特征码扫描的杀毒软件(on-demand scanner)是无能为力的,
但是如果安全软件带有主动防御,能够监控病毒文件的高危行为,那么防住这些恶意软件还是有机会的。
网友评论