经过1年的时间,ESET终于推出了重量级的旗舰反病毒安全套装产品ESET Smart Security。今天笔者拿到了最新的ESET Smart Security商业版。 ESET Smart Security是ESET NOD32公司隆重推出的NOD32下一代产品,ESET的NOD32防毒
软件一直是市面上广受好评的安全防护产品,它具有强大的恶意软件清除引擎,其出色的性能更是许多人选择NOD32的最大原因,下面就随笔者来尝尝鲜吧。
ESET Smart Security商业版支持最新的Windows Server 2008及Windows Server 2000/2003。
图1 试用ESET Smart Security商业版的系统环境
一、
安装ESET Smart Security商业版 ESET Smart Security商业版的安装程序与Home版的安装程序略有不同,安装程序也会附带be,即business字符,如下图:
图2 安装程序附带be
双击执行后,按照如下步骤依次安装:
为简化操作,我们选择普通安装即可,ESET已经为我们设置好大部分参数,方便普通用户的操作。(注意:安装ESET Smart Security之前强烈建议先将已安装的杀毒软件卸载。)
图3 安装前建议先卸载其他杀毒软件
启用ThreatSense.Net预警系统,可以防范大部分未知病毒。
图4 启用ThreatSense.Net预警系统防范大部分未知病毒
启用潜在不受欢迎的应用程序检测功能。
图5 启用潜在不受欢迎的应用程序检测功能
ESS安装完毕后即可立即投入使用,不需要重启
电脑。这点很人性化,意味着即便在网吧也可以很轻松地安装并使用ESS来杀毒。
图6 安装完毕无须重启即可轻松杀毒
安装成功后第一件事,当然是立即更新病毒库啦。ESET Smart Security的更新速度很快,笔者只用了不到10秒的时间,就已经将病毒库更新到最新了。
图7 立即更新病毒库
更新成功后,右下角的任务栏将会弹出提示,提示ESET Smart Security已更新至最新。
图8 病毒库更新成功
二、测试商业版的防病毒能力
装好了杀毒
软件,那么就让我们马上来测试下ESET Smart Security的防毒效果如何。
第一步:准备测试环境 要测试病毒,当然不能在本机测试拉,中毒了就麻烦了。为了测试ESET Smart Security的防毒效果,笔者特意安装了虚拟机。虚拟机的相关介绍请参阅:
http://blog.sina.com.cn/s/reader_4563cd9901000a19.html 我们准备的虚拟机系统为:Windows Server 2000,全新系统。并从国内著名的安全论坛卡饭论坛的病毒样本区
下载最新的磁碟机病毒样本,机器狗样本等。
卡饭论坛地址:
http://bbs.kafan.cn/ 测试磁碟机病毒 近日,令众多
电脑用户谈之色变的“磁碟机”病毒 在互联网疯狂传播,短短数日已有超过数十万余台电脑感染!同“灰鸽子”一样,该病毒具有共同特征,破坏杀毒软件,伺机在用户毫无察觉的情况下植入大量病毒
木马,窃取用户帐号等私密信息,其破坏能力、自我保护和反杀毒软件能力均强于“熊猫烧香”病毒,正逐渐发展为感染量大、破坏性强、清除难度高的新毒王。
磁碟机病毒疫情的发生 磁碟机病毒最早出现在去年2月份,是在windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。
图9 磁碟机病毒样本
a.我们使用ESET Smart Security的右键扫描功能查杀,立马弹出侦测到磁碟机病毒。
图10 ESET Smart Security侦测到磁碟机病毒
b.不用扫描,直接将该文件解压到当前文件夹,ESET Smart Security立刻弹出警报,提示为磁碟机病毒。
由此我们可以相信,磁碟机对ESET Smart Security来说,简直是小菜一碟。
为了测试磁碟机的危害,我们再次到新的系统中,不安装ESET Smart Security,直接执行磁碟机程序,执行后,系统马上变得异常。
1.双击IE浏览器,提示有错误。
2.弹出莫名奇妙的窗口,提示有错误。
3.弹出钓鱼网站,欺骗用户,企图盗窃
QQ密码,网银、
网游密码等。
中毒后,系统变得非常缓慢,打开IE浏览器经常会无反应,弹出窗口IE发生错误,桌面消失,一会又出现。
4.无法登录安全模式,蓝屏。
病毒分析
磁碟机病毒至今已有多个变种,该病毒感染系统之后,会象蚂蚁搬家一样将更多
木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木马混合感染,其中下载的ARP病毒会对局域网产生严重影响。
对于普通
电脑用户来说,磁碟机病毒入侵后,除了安装的安全
软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒是在盗号事件发生之后,一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清除,甚至想重新安装另一个杀毒软件也变得不可能。
我们来对比下,运行磁碟机病毒之前和之后的进程项:
运行病毒前:
病毒运行后:可以看到,病毒伪装成系统的进程lsass和smss,但是仔细看,映像的路径和原始路径不一样,变成C:\WINNT\System32\com。
典型磁碟机破坏的表现:
1.注册全局HOOK,扫描含有常用安全
软件关键字的程序窗口,发送大量消息,致使安全软件崩溃。
2.破坏文件夹选项,使用户不能查看隐藏文件。
3.删除注册表中关于安全模式的值,防止启动到安全模式。
4.创建
驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的目实现自动加载。
5.修改注册表,令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
9.释放多个病毒执行程序,完成更多任务。
10.病毒通过重启重命名方式加载,位于注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。
12.
下载大量
木马到本地运行,用户最终受损情况,决定于这些木马的行为。
病毒传播途径 1.U盘/移动
硬盘/数码存储卡传播
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播
5.通过内网ARP攻击传播
测试查杀机器狗木马病毒 机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的userinit.exe,随系统每次启动时加载到系统中。
此文件运行后会在系统的:
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下添加一系列反病毒
软件和安全工具的键值,使这些软件和工具无法正常运行。
另外病毒还会尝试注入IE进程通过互联网
下载病毒的更新,达到躲避查杀与侦测的目的。此外,机器狗通常会附带下载者,不断的从病毒主机下载病毒、木马等到计算机中,盗窃网银、
网游账号。
为了测试ESET NOD32安全套装的杀狗能力,我们下载了最新的机器狗样本。
运行右键杀毒,ESET NOD32立马就查杀出有很多盗号木马。
由此可见,ESET NOD32安全套装的杀马能力还是很不错的。
[
本帖最后由 玉帝私生子 于 2008-7-6 18:05 编辑 ]
微博帐号登录