Virus 版 (精华区)

发信人: OrangeGun (橘子枪), 信区: Virus
标  题: 关于宏病毒的一个小试验
发信站: 哈工大紫丁香 (Wed Jun 24 01:54:55 1998), 转信

发信人: vkiller (杀手), 信区: Virus
标  题: 关于宏病毒的一个小试验
发信站: BBS 水木清华站 (Fri Jun 19 01:45:23 1998) WWW-POST

本来没有打算作一次测试。不过，因为碰到了几个新的宏病毒，便用手头几个软件
试了一下。参加测试的软件分别为：
Norton Anti-Virus for Win 95 v4.0 
AVP 3.0 for Win 95 Build 119 
F-macro for DOS 
Heuristic Macro Virus Scanner 260e
RAV 8.0

所测试的病毒：
1.Class.poppy
描述：The first class macro virus (infects class objects in word)
No module/no defined name
No traditional organizer macros
First ever to use this method of infection
Polymorphic (engine borrowed from Groovie)
Does not care about SR-1 at all
Fast infection/No suspicious delay
Basic stealth
Small message box payload
结果：
NAV：不能检测
AVP：不能检测
HMVS：只能检测出源代码
F-Macro:可以检测
RAV:不能检测
说明：首次用Word 97打开文件时，警告有宏，忽略继续。但可能是由于与中文版本并兼容的缘故，病毒未能成功显示payload box，结果显示出VB编辑器而暴露其存在。关闭VB编辑器后，normal.dot显示被感染，将原normal.dot替换后，再次从zip文件
中打开文件，Word 
97这次没有提示而. 续出现上面的问题并继续感染normal.dot。

2.Groovie/Groovie2
描述：New breed of Word 97 macro virus
Does not need a normal template to spread
Does not care if the normal template is read-only
Functions under Word97/SR-1
Multiparties code
Based on NO OTHER MACRO VIRUS
No intentionally harmful code
Full stealth
Abuses FTP as a payload
结果：
NAV：可检测。
AVP：可检测
HMVS：可检测。
F-Macro:可检测
RAV：不能检测

3.Agent
描述：Agent is probably the first "USENET" virus. There have been virused 
that use e-mail programs, but never newsgroups. The virus uses Forte Agent
 to spread itself.
Uses Forte Agent
Slightly polymorphic-slow poly
Minor stealth
Should work under all languages
Internal generation counter
slightly anti-heuristic
Also steals user's Agent registration key, if possible.
结果：
NAV:可检测，但未命名。
AVP:可检测。
HMVS:可检测。
F-Macro:可检测。
RAV:不能检测。

4.Crash
宏病毒分别放在一个DOC和TXT文件里。
宏：AutoOpen/AutoNew/AutoClose/AutoExec/Extra Makros/Killdrv/Crash/Zero
具有高度的破坏性。
Displays a message before deleting *.drv in c:\windows\ system
Copies all macros in new document
Hides the Extra/Macros tool
Displays a message and starts beeping like a bitch
结果：
NAV:同时检测doc和txt。
AVP:同时检测doc和txt.
HMVS:可以检测doc。
F-MACRO:同时检测doc和txt.
RAV:不能检测。

5.The Time
描述：
When document is opened a message is displayed
At 15:59 there is a beep and a message is displayed
If virus is not found in 1 minutes, command.com and autoexec.bat are toast
结果：
NAV：不能检测。
AVP：不能检测。
HMVS：只能检测源代码。
F-MACRO:不能检测。
RAV:不能检测。

6.COPYCAP
一个类似CAP的宏病毒，病毒样本来自在alt.comp.virus上post其发现的一个英国用户。
结果：
NAV:可以检测。
AVP:可以检测。
HMVS:只能检测出源代码。
F-MACRO:可以检测。
RAV:不能检测。

7.Strange Days
描述：The world's first macro virus that can infect Word and Excel.
结果：
NAV:可同时检doc和xls。
AVP:可同时检测doc及xls。
HMVS:只能检测出doc文件中源代码。
F-MACRO:可同时检测doc及xls。
RAV:不能检测。

8.Cap的三种变体。
Cap是去年开始流行的宏病毒，在技术上比传统宏病毒有很大的突破，关于Cap的详细描
述，请参看<电脑>杂志第6期。
结果：
NAV：可检测，但只能鉴别为2种。
AVP：可检测，但通通认为是Cap.
HMVS：可检测1种。
F-MACRO:检测2种，怀疑1。
RAV：检测3种，但通通认为是cap.

9.Access病毒四种：
AccessIV.a/AccessIV.b/Access-2/Detox
结果：
NAV:可以检测3种，漏掉Access-2宏病毒。
AVP:可以检测3种，漏掉Access-2宏病毒。
HMVS:无法检测Access宏病毒。
F-MACRO:无法检测Access宏病毒。
RAV:不能检测

结论：？
这不是一次很正规、很全面的测试，无意对软件作任何评价。只是想说的一点是：
“全面查杀宏病毒”的软件是没有的。在抗病毒技术不断更新的同时，病毒写作技
术也在不断更新。新的挑战还在后头。

--
※ 修改:·bluesea 於 Jun 20 02:03:30 修改本文·[FROM: 202.112.103.225]
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.103.136.21] 
 

--
☆ 来源:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: OrangeGun.bbs@bbs.ne]