Virus 版 (精华区)
发信人: OrangeGun (橘子枪), 信区: Virus
标 题: 关于宏病毒的一个小试验
发信站: 哈工大紫丁香 (Wed Jun 24 01:54:55 1998), 转信
发信人: vkiller (杀手), 信区: Virus
标 题: 关于宏病毒的一个小试验
发信站: BBS 水木清华站 (Fri Jun 19 01:45:23 1998) WWW-POST
本来没有打算作一次测试。不过,因为碰到了几个新的宏病毒,便用手头几个软件
试了一下。参加测试的软件分别为:
Norton Anti-Virus for Win 95 v4.0
AVP 3.0 for Win 95 Build 119
F-macro for DOS
Heuristic Macro Virus Scanner 260e
RAV 8.0
所测试的病毒:
1.Class.poppy
描述:The first class macro virus (infects class objects in word)
No module/no defined name
No traditional organizer macros
First ever to use this method of infection
Polymorphic (engine borrowed from Groovie)
Does not care about SR-1 at all
Fast infection/No suspicious delay
Basic stealth
Small message box payload
结果:
NAV:不能检测
AVP:不能检测
HMVS:只能检测出源代码
F-Macro:可以检测
RAV:不能检测
说明:首次用Word 97打开文件时,警告有宏,忽略继续。但可能是由于与中文版本并兼容的缘故,病毒未能成功显示payload box,结果显示出VB编辑器而暴露其存在。关闭VB编辑器后,normal.dot显示被感染,将原normal.dot替换后,再次从zip文件
中打开文件,Word
97这次没有提示而. 续出现上面的问题并继续感染normal.dot。
2.Groovie/Groovie2
描述:New breed of Word 97 macro virus
Does not need a normal template to spread
Does not care if the normal template is read-only
Functions under Word97/SR-1
Multiparties code
Based on NO OTHER MACRO VIRUS
No intentionally harmful code
Full stealth
Abuses FTP as a payload
结果:
NAV:可检测。
AVP:可检测
HMVS:可检测。
F-Macro:可检测
RAV:不能检测
3.Agent
描述:Agent is probably the first "USENET" virus. There have been virused
that use e-mail programs, but never newsgroups. The virus uses Forte Agent
to spread itself.
Uses Forte Agent
Slightly polymorphic-slow poly
Minor stealth
Should work under all languages
Internal generation counter
slightly anti-heuristic
Also steals user's Agent registration key, if possible.
结果:
NAV:可检测,但未命名。
AVP:可检测。
HMVS:可检测。
F-Macro:可检测。
RAV:不能检测。
4.Crash
宏病毒分别放在一个DOC和TXT文件里。
宏:AutoOpen/AutoNew/AutoClose/AutoExec/Extra Makros/Killdrv/Crash/Zero
具有高度的破坏性。
Displays a message before deleting *.drv in c:\windows\ system
Copies all macros in new document
Hides the Extra/Macros tool
Displays a message and starts beeping like a bitch
结果:
NAV:同时检测doc和txt。
AVP:同时检测doc和txt.
HMVS:可以检测doc。
F-MACRO:同时检测doc和txt.
RAV:不能检测。
5.The Time
描述:
When document is opened a message is displayed
At 15:59 there is a beep and a message is displayed
If virus is not found in 1 minutes, command.com and autoexec.bat are toast
结果:
NAV:不能检测。
AVP:不能检测。
HMVS:只能检测源代码。
F-MACRO:不能检测。
RAV:不能检测。
6.COPYCAP
一个类似CAP的宏病毒,病毒样本来自在alt.comp.virus上post其发现的一个英国用户。
结果:
NAV:可以检测。
AVP:可以检测。
HMVS:只能检测出源代码。
F-MACRO:可以检测。
RAV:不能检测。
7.Strange Days
描述:The world's first macro virus that can infect Word and Excel.
结果:
NAV:可同时检doc和xls。
AVP:可同时检测doc及xls。
HMVS:只能检测出doc文件中源代码。
F-MACRO:可同时检测doc及xls。
RAV:不能检测。
8.Cap的三种变体。
Cap是去年开始流行的宏病毒,在技术上比传统宏病毒有很大的突破,关于Cap的详细描
述,请参看<电脑>杂志第6期。
结果:
NAV:可检测,但只能鉴别为2种。
AVP:可检测,但通通认为是Cap.
HMVS:可检测1种。
F-MACRO:检测2种,怀疑1。
RAV:检测3种,但通通认为是cap.
9.Access病毒四种:
AccessIV.a/AccessIV.b/Access-2/Detox
结果:
NAV:可以检测3种,漏掉Access-2宏病毒。
AVP:可以检测3种,漏掉Access-2宏病毒。
HMVS:无法检测Access宏病毒。
F-MACRO:无法检测Access宏病毒。
RAV:不能检测
结论:?
这不是一次很正规、很全面的测试,无意对软件作任何评价。只是想说的一点是:
“全面查杀宏病毒”的软件是没有的。在抗病毒技术不断更新的同时,病毒写作技
术也在不断更新。新的挑战还在后头。
--
※ 修改:·bluesea 於 Jun 20 02:03:30 修改本文·[FROM: 202.112.103.225]
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.103.136.21]
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: OrangeGun.bbs@bbs.ne]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.217毫秒