高手过招 木马杀客光说不练惹风波

--------------------------------------------------------------------------------
作者：未知 来源：未知 加入时间：2006-12-16　中国下载吧
  如果有人告诉你，你所信赖的木马查杀和病毒防护软件并不能真正保护你的安全，甚至也在弄虚作假。你是否已经感到恐慌了呢？当有人告诉你这些病毒查杀软件仅仅是靠“文件名+文件体积”的方式来查杀木马，你还能相信谁？作为一款国内著名的免费木马查杀软件——木马杀客的用户量不断攀升，几乎是口口相传，让木马杀客成了众多电脑必备的安全工具。但是最近一些网友经过测试发现，木马杀客对木马的查杀正是靠“文件名+文件体积”的方式来识别木马的（也就是用作者在网上收集的木马名字加木马文件的体积以及文件的MD5值来进行对比）。这下引起了轩然大波！
  如果这个消息属实，那木马杀客的木马杀除能力确实值得商榷。不但对付木马的变种无力，如果改名说不定就不认识了。还有文件大小如果相同那也会有大量误杀的事件发生。MD5识别杀毒更是要命，不但文件经过任何改变（重新编译、加壳、或者加个别无意义的代码等花指令都会改变）都会改变MD5值，就是在不同语言系统或者不同的系统下，同一个文件的MD5值也有可能变化，那木马杀客就晕了。

  木马杀客下载地址：http://www.skycn.com/soft/24158.html

  我首先做了和第一个披露的Kill01网友相同的试验，也建立一个txt的0字节空文件，然后改名为lsass.exe，用木马杀客来扫描。果然不幸的出现下面的窗口，木马杀客果然只凭文件名就认为他是木马。
  Kill01网友做的第二个试验是只给木马文件增加了一些字节（但是危害还是相同），木马杀客就不能识别了。我也做了相同的试验，结果也是一样的（由于涉及某些木马和病毒免杀的过程，就不详细图解了）。这种经过改造的木马对于某些杀毒软件来说是一个变种木马，木马杀客不能对付还似乎可以理解，因为某些杀毒软件的表现也是如此（下面详细介绍）。但是只靠文件名杀毒实在是……

  我们知道，传统的杀毒软件都是根据特征码来识别病毒和木马的，提取关键且有效的特征码是各大著名杀毒软件的秘诀，有效的特征码也是对付病毒变种的重要办法。就是目前先进的启发杀毒技术也需要对文件关键代码进行动态模拟或反编译来识别是不是病毒。
  这个试验被很多网友反复试验，都给予了证明。结果另外一些网友就干脆拿其他的杀毒软件来做同样的试验，结果发现了更多的问题。

  mofunzone用欧美通用的杀毒测试代码来用一些著名杀软的在线测试来做试验，结果在测试代码X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*里面加三个“g”。美国CA公司的两个产品、捷克的Avast！、微软的杀毒引擎、冰岛的F-Prot、ewido、西班牙的熊猫（Panda）、台湾的Prevx1、美国的Sunbelt（该公司有以Kerio命名的系列著名杀毒软件和防火墙）等在线杀毒全部报没有病毒。至于他们的为什么不提取就不清楚了，大家就怀疑他是不是也是只和木马杀客一样，只对标准文件进行识别。

  测试的结果令人大感意外，难道我们一直都使用的那些著名杀毒软件也不行？究竟还有多少杀毒软件是值得我们信赖的呢？

  于是又有网友做类似的给木马加字节后再用杀毒软件来测试，结果发现国产的另外一个免费的杀毒软件智慧星也是用文件名加MD5来进行杀毒（智慧星宣传这个是他独立开发的先进引擎）。还发现瑞星2006和木马克星对一些木马加字节后也没有反应！更有网友提出了几个月前的旧闻，Avast！把中文和德文系统的系统任务管理器（taskmgr.exe）等一些系统核心软件当作木马不分青红皂白的杀了！结果发现他对这些文件就是用文件名加MD5来识别的！虽然后来很快更正了，但是他在对病毒文件识别中还有多少是用这种方式识别的？天知道！

  前几天我也遇到了类似问题，我试用Ashampoo AntiSpyWare来查木马软件。结果他把一大批Windows的东东（包括很多核心部件）都识别为木马！这令我很是恐慌，无所适从，只有把他卸载不再使用。（在这之后，我用Nod32、卡巴斯基、AVG Anti-Spyware 7.5、McAfee企业版等都检查过没有问题）这种误报难道也是通过文件名加MD5识来识别的？中文系统的MD5和英文不同，他就不分青红皂白的把他识别为木马！
既然加壳会让病毒变形，也能躲过众多杀毒软件的查杀。那么一些可以脱壳的杀毒软件是不是就能万无一失呢？

  网友Vader做了这样一个关于加壳的复杂测试：

  测试使用一个绝对正常的文件，用各大著名杀毒软件的在线杀毒测试，当然一切正常没有发现病毒。

  然后使用北斗、仙剑、JDPACK、eXPressor、SVKP、免杀木马加壳器、木马帝国木马免杀器、岁月联盟专用木马加壳器等进行加壳，意想不到的事发生了，杀病毒软件分别发现病毒或者是怀疑病毒，其中CAT-QuickHeal是被Vader封为报壳王，因为他见壳就报！Antivir（德国著名的小红伞）、Panda、Fortinet（美国著名的飞塔）、Sophos（英国牛津）、kaspersky（俄罗斯的卡巴斯基）等著名杀毒软件也是经常报！其中Antivir、Fortinet 、Panda、Sophos基本都是以启发式的方式来报出的！kaspersky应该是提取壳的特征码作为判断病毒的依据。

  但是他们都不幸把正常的文件报壳，甚至是把经过加壳后无法运行的程序报壳！其他不幸多次中招的著名杀毒软件还有F-Prot4（冰岛）、eSafe（以色列）、Ikarus（奥地利）等。著名的McAfee（美国）、Dr.Web（俄罗斯）也有一次失手……。而最搞笑的是Vader的岁月联盟专用木马加壳器测试结果：AntiVir、Avast!两个著名的杀毒软件干脆直接明确的报为灰鸽子！（Vader的判断是因为国内用这个给各种变种灰鸽子加壳的太多，这二位干脆省事，提取了这个壳的特征码来识别灰鸽子！）

  Vader的测试结论我们也很容易理解，CAT-QuickHeal这样报壳王我们姑且不论， 而Antivir、Fortinet 、Panda、sophos、kaspersky等在国内外评价不错的杀毒软件也不少有针对壳来报毒的。前面四个基本都是以启发式的方式来报出的，kaspersky是通过特征码来报的，所以我们就要怀疑这四位用来对付加壳病毒的启发式杀毒到底是不是仅仅是针对壳的特征码来报病毒的呢？kaspersky声称可以脱N千种壳，是不是其中相当多的所谓脱壳都只是看到这个壳的特征码就干脆一杀了之？
加壳其实不仅仅是病毒和木马免杀用，不少程序也用加壳技术来保护自己不被破解。如果这些号称可以脱壳的杀毒软件只是根据壳的特征码来报病毒，那也太……
  老实说这些文章和测试看下来，太多的知名杀毒软件的表现确实让我失望，大家在技术上偷懒，提取特征码或者启发引擎都只是靠壳的特征，甚至只是靠MD5，那误报误杀基本是不可避免的！这对普通用户也是噩梦（我测试Ashampoo AntiSpyWare经历就是如此）。

  在笔者结束文章时候，了解到木马杀客提出要改进他的查杀引擎，避免再出现这种情况。作为一个免费的安全软件能够做出这样的姿态难得的。希望其他的著名杀毒软件也改进技术，尽量不要出现某些不负责任的误杀误报，这对于普通电脑其实是非常重要的！大家相信你的品牌和技术，却未必给了用户真正安心的保护。

  附 录：

  Vader第一个测试的是给北斗3.7的壳，用在线杀毒测试，结果就有CAT-QuickHeal、eSafe、Fortinet、Ikarus、Kaspersky、Sophos等就报了怀疑或者直接报病毒或木马，然后再加一层北斗壳,然后F-Prot4也报发现了病毒。

  然后Vader用原未加壳的程序加一层仙剑的壳, 测试发现AntiVir 、CAT-QuickHeal、eSafe、Fortinet等报了病毒，然后再加一层仙剑的壳，虽然这时候程序已经无法运行了，但是不但上面四个继续报，F-Prot4也加入了。

  然后是JDPACK的加壳，这次是CAT-QuickHeal、Fortinet、Kaspersky报了。再试0bug0.1壳加密，虽然程序已经再次无法运行，但是这次还有CAT-QuickHeal、Fortinet、McAfee、Panda等报了病毒。

  eXPressor的壳的加密是AntiVir、eSafe、Ewido、Fortinet、Ikarus等报了病毒，他的高比例压缩倒是只有AntiVir、eSafe、Ewido、Fortinet报。

  用国产的免杀木马加壳器生成后程序已经不能运行了，但是AntiVir、CAT-QuickHeal、Fortinet、Kaspersky、Panda继续报病毒（Vader估计是由于国内不少人就是拿着个这个自己的后门加壳造成杀软干脆看到这个壳就报病毒，汗……）。

  用木马帝国木马免杀器加的壳以后，AntiVir,CAT-QuickHea,Fortinet,Kaspersky不幸的继续报毒……

  SVKP的壳加密，CAT-QuickHeal、eSafe、Fortinet、Ikarus等老选手继续报，还增加了UNA！

  复合加壳的测试：木马帝国木马免杀器+北斗壳加密后，CAT-QuickHeal,eSafe,Fortinet,Ikarus,Kaspersky,Sophos都报了。

  JDPACK+北斗加壳，报了发现病毒有CAT-QuickHeal ,eSafe,Fortinet,F-Prot4,Ikarus, Kaspersky,Panda,Sophos这八款杀毒。然后再加一层北斗壳，著名的Dr.Web也不幸加入了。

  岁月联盟专用木马加壳器加的壳，CAT-QuickHeal、sophos、Fortinet、eSafe、AntiVir、Avast报了，其中AntiVir、Avast干脆直接报为灰鸽子！（Vader估计是国内太多人用这个加壳工具给灰鸽子加壳了吧,导致反病毒厂商直接用壳的特征码来判断了）然后再用北斗壳加了一层，然后AntiVir没有报了，却增加了Ikarus、Panda……