关于NOD32无法防御部分U盘病毒的说明

network

关于NOD32无法防御部分U盘病毒的说明关于NOD32无法防御部分U盘病毒的说明很早以前听说某位开着ESS却被U盘病毒干翻的事情，觉得很奇怪，专门试了试，当时ESS报警，就片面的觉得这位仁兄的遭遇应该是人品问题，不是ESS的问题。
可是今天动了脑筋，又试了试，发现ESS 3.0.667确实被过，让人很是郁闷。

这两次的区别就是以前测试的样本可被ESS病毒库查杀，所以轻松的被ESS检出，这回特意找了个不被病毒库查杀，但是可被高启查杀的病毒，看看效果如何；
1、先恢复ESS默认配置，做了个autorun.inf，将其指向病毒文件，插入U盘，打开“我的电脑”点击U盘盘符，呜呜呜，在毛豆的监控下，可见病毒已经运行，注册表写入了一堆，又开始调用CMD和Wscript，反正很惨。
2、将“文件实时防护”的高启发和脱壳检测打开，(*^__^*) 嘻嘻……，这会好使了，一双点U盘盘符，提示程序无法运行，ESS弹框报毒，成功将病毒干掉。

原理分析如下：
1、由于ESS默认只对新建文件和被修改的文件开启高启发扫描，但是U盘内的文件，ESS认为不是新建或被修改的文件，自然就不会启用高启发扫描，大家也都知道，ESS的核心是高启发，如果只靠病毒库，连X星的毛都不如，所以病毒得以成功运行。
2、而一旦开启了“文件实时监控”的高启发，那么程序运行前，是要经过高启查毒的，这样ESS马上凭借高启发扫描到病毒。


结论：
ESS在默认配置下不能很好的防范U盘病毒。

提醒：
1、鉴于U盘病毒的猖獗，如果没有屏蔽inf，就请大家打开“文件实时防护”的高启发和脱壳选项，虽然偶尔计算机卡些，但是效果是一流的。
2、ESET国际官论管理员Marcos承诺将在下一个主程序升级时处理这个问题：
引自http://www.wilderssecurity.com/showthread.php?t=213878 引用:

The simplest thing you can do is disable the autorun feature. Also you can enable advanced heuristics and runtime packers on file access in the real-time protection setup, but this may result in a performance slowdown as all files would be emulated before they are run. For this reason, the next major program update will have scanning of removable media improved.

来自北方的狼

menghuer

强烈支持,严重顶起!!   我来分析一下LZ的结论


结论：
ESS在默认配置下不能很好的防范U盘病毒。开了高启后,能达到理想的效果,会对U盘进行全面的扫描


首先,我们打开ESS的两个高启发(见图1\图2)

下面我来分析一下为什么能达到理想的效果,会对U盘进行全面的扫描,看一下图3就知道了



结论: 1.没有病毒库的杀软不是真正的杀软

2.病毒库大且具有启发式扫描会对计算机的运行速度造成极大的损害,影响用户正常的工作

3.NOD32集成了病毒库小/启发式扫描/高级启发式扫描,之所以能达到理想的效果,也就是此原因了,不仅对U盘,还对系统中所有的资料

文件都会进行实时的防护

menghuer

上文也恰恰证明了http://bbs.boway.net/viewthread.php?tid=3841&extra=page%3D1的内容