博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2813|回复: 3

关于NOD32无法防御部分U盘病毒的说明

[复制链接]
发表于 2008-8-8 07:33:16 | 显示全部楼层 |阅读模式
关于NOD32无法防御部分U盘病毒的说明关于NOD32无法防御部分U盘病毒的说明很早以前听说某位开着ESS却被U盘病毒干翻的事情,觉得很奇怪,专门试了试,当时ESS报警,就片面的觉得这位仁兄的遭遇应该是人品问题,不是ESS的问题。
可是今天动了脑筋,又试了试,发现ESS 3.0.667确实被过,让人很是郁闷。

这两次的区别就是以前测试的样本可被ESS病毒库查杀,所以轻松的被ESS检出,这回特意找了个不被病毒库查杀,但是可被高启查杀的病毒,看看效果如何;
1、先恢复ESS默认配置,做了个autorun.inf,将其指向病毒文件,插入U盘,打开“我的电脑”点击U盘盘符,呜呜呜,在毛豆的监控下,可见病毒已经运行,注册表写入了一堆,又开始调用CMD和Wscript,反正很惨。
2、将“文件实时防护”的高启发和脱壳检测打开,(*^__^*) 嘻嘻……,这会好使了,一双点U盘盘符,提示程序无法运行,ESS弹框报毒,成功将病毒干掉。

原理分析如下:
1、由于ESS默认只对新建文件和被修改的文件开启高启发扫描,但是U盘内的文件,ESS认为不是新建或被修改的文件,自然就不会启用高启发扫描,大家也都知道,ESS的核心是高启发,如果只靠病毒库,连X星的毛都不如,所以病毒得以成功运行。
2、而一旦开启了“文件实时监控”的高启发,那么程序运行前,是要经过高启查毒的,这样ESS马上凭借高启发扫描到病毒。


结论:
ESS在默认配置下不能很好的防范U盘病毒。

提醒:
1、鉴于U盘病毒的猖獗,如果没有屏蔽inf,就请大家打开“文件实时防护”的高启发和脱壳选项,虽然偶尔计算机卡些,但是效果是一流的。
2、ESET国际官论管理员Marcos承诺将在下一个主程序升级时处理这个问题:
引自http://www.wilderssecurity.com/showthread.php?t=213878 引用:
The simplest thing you can do is disable the autorun feature. Also you can enable advanced heuristics and runtime packers on file access in the real-time protection setup, but this may result in a performance slowdown as all files would be emulated before they are run. For this reason, the next major program update will have scanning of removable media improved.
发表于 2008-9-25 21:19:16 | 显示全部楼层
发表于 2008-9-29 12:21:55 | 显示全部楼层
强烈支持,严重顶起!!   我来分析一下LZ的结论


结论:
ESS在默认配置下不能很好的防范U盘病毒。开了高启后,能达到理想的效果,会对U盘进行全面的扫描



首先,我们打开ESS的两个高启发(见图1\图2)

下面我来分析一下为什么能达到理想的效果,会对U盘进行全面的扫描,看一下图3就知道了



结论: 1.没有病毒库的杀软不是真正的杀软

2.病毒库大且具有启发式扫描会对计算机的运行速度造成极大的损害,影响用户正常的工作

3.NOD32集成了病毒库小/启发式扫描/高级启发式扫描,之所以能达到理想的效果,也就是此原因了,不仅对U盘,还对系统中所有的资料

文件都会进行实时的防护



1.jpg
2.jpg
3.jpg
发表于 2008-9-29 12:25:26 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 23:09 , Processed in 0.096000 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表