【51CTO.com 綜合消息】從2010年初到現(xiàn)在，一種全新的木馬大規(guī)模的爆發(fā)。它們擁有多重病毒的特性，有的時候好像計算機木馬一樣竊取帳號密碼，而有的時候又好像流氓軟件篡改系統(tǒng)的相關(guān)屬性，所以網(wǎng)友們習(xí)慣將這類病毒稱之為“綁架型木馬”。那么對付這樣的病毒木馬，殺毒軟件還可以勝任嗎？今天我們就來看看國內(nèi)常見的幾款殺毒軟件，在對付這類“綁架型木馬”的時候結(jié)果會怎樣。

一、測試環(huán)境

既然是進行殺毒軟件的測試操作，那么首先需要尋找一個“綁架型木馬”的樣本，于是我在國內(nèi)知名的安全論壇“卡飯”，找到一個標(biāo)題名為“生成ie圖標(biāo)和淘寶圖標(biāo)”的病毒樣本。這個病毒運作以后，會在系統(tǒng)的桌面和快捷啟動欄中，生成一個虛假的淘寶圖標(biāo)和IE瀏覽器圖標(biāo)。當(dāng)用戶點擊虛假的IE瀏覽器圖標(biāo)后，會自動連接到一個導(dǎo)航網(wǎng)站的首頁。當(dāng)用戶點擊虛假的淘寶圖標(biāo)后，會自動連接到淘寶網(wǎng)的“特賣頻道”網(wǎng)頁。而今天測試的殺毒軟件，包括360殺毒、瑞星殺毒軟件、金山毒霸、NOD32和卡巴斯基，測試的殺毒軟件版本都是各自當(dāng)前最新的正式版。

圖（1）

二、測試結(jié)果

首先我們在虛擬機里面運行這個病毒樣本，接下來在分別安裝運行每個殺毒軟件。通過殺毒軟件對系統(tǒng)進行掃描分析，來看看殺毒軟件是否可以對病毒進行清除，并且是否可以對虛假的圖標(biāo)進行清除操作。

1.瑞星殺毒軟件 2010

瑞星殺毒軟件的掃描比較緩慢，可是最終一個病毒文件都沒有分析出來，同樣也沒有分析出桌面上的虛假圖標(biāo)?？磥砣鹦菤⒍拒浖€沒有收錄這個病毒樣本，所以無法對這個病毒文件進行查殺，當(dāng)然也無法指望它清除系統(tǒng)桌面中的虛假圖標(biāo)。

圖（2）

2.金山毒霸 2011 SP3

金山毒霸的分析過程比較快，而且給出了病毒木馬文件、修改IE默認設(shè)置的病毒、以及存在異常的快捷方式等提示，從這我們就可以看出金山毒霸已經(jīng)將病毒的主要體現(xiàn)都分析出來呢。點擊“立即處理”按鈕后，金山毒霸將系統(tǒng)桌面的病毒文件進行清除，但是位于桌面上的虛假圖標(biāo)居然紋絲未動。不過當(dāng)我在點擊“返回”按鈕后，金山毒霸提示有病毒需要重新啟動后才可以刪除。于是按照要求重新啟動操作系統(tǒng)，果然在重新啟動以后虛假圖標(biāo)得以清除。為了避免虛假圖標(biāo)會重新出現(xiàn)，我又觀察了一個多小時的時間，發(fā)現(xiàn)虛假圖標(biāo)的卻是沒有再出現(xiàn)呢。

圖（3）

3.360殺毒 1.2

360殺毒的分析過程還不錯，因為很快就提示用戶有“危險的桌面圖標(biāo)”，并且成功的分析出了病毒樣本的文件。當(dāng)我們點擊殺毒軟件的“開始處理”按鈕后，可以看見病毒樣本的文件被成功刪除，與此同時桌面的虛假圖標(biāo)也被成功的進行刪除。正在我暗自慶幸的時候，這些虛假圖標(biāo)又自動出現(xiàn)在系統(tǒng)桌面和快速啟動欄，看來360殺毒對虛假圖標(biāo)的處理非常不徹底。于是我又重新利用360殺毒進行再次掃描，可是非常悲劇的一幕出現(xiàn)呢。在掃描的過程中，360殺毒掃描服務(wù)意外終止，提示用戶用急救箱進行修復(fù)。看來想指望360殺毒來清除虛假圖標(biāo)是不現(xiàn)實的呢。

圖（4）

4.NOD32 4.2

NOD32秉承了它一貫掃描速度快的特征，利用極短的時間就分析出兩個病毒文件。分別是系統(tǒng)桌面和系統(tǒng)目錄中的病毒文件，并且利用自身的功能對其進行了清除操作。不過可惜的是NOD32并沒有分析出系統(tǒng)桌面的虛假圖標(biāo)，所以也不能對這些圖標(biāo)進行刪除操作，以及修復(fù)這個病毒對系統(tǒng)屬性的破壞。

圖（5）

5.卡巴斯基 2011

其實還沒有利用卡巴斯基進行掃描，它的實時監(jiān)控功能就開始彈出提示框，告知用戶系統(tǒng)里面存在病毒并進行刪除?？墒钱?dāng)卡巴斯基將其刪除以后，這些病毒文件又很快的衍生出來，這樣刪了出到出了刪的過程就周而復(fù)始的進行著。這樣當(dāng)卡巴斯基對磁盤掃描完成以后，存在于系統(tǒng)桌面和系統(tǒng)目錄中的文件同樣存在。而且卡巴斯基也沒有分析虛假圖標(biāo)的相關(guān)功能，所以自然而然也不能對這些圖標(biāo)進行刪除操作。

圖（6）

小結(jié)：2010年，殺毒圈里流傳了一句話，“綁架型木馬就像中風(fēng)，后遺癥害死人”。意思是說，殺毒軟件在用戶的電腦中發(fā)現(xiàn)一個綁架型木馬的文件不難，而且也很容易就可以查殺掉。但查殺后，用戶電腦系統(tǒng)出現(xiàn)的異常問題，以及一些常用軟件無法正常使用等問題，并不是普通的殺毒軟件可以解決的。筆者經(jīng)過一番測試，發(fā)現(xiàn)目前國內(nèi)的殺毒軟件中，只有啟用了修復(fù)引擎的金山毒霸2011 SP3能夠徹底查殺綁架型木馬，并解決因綁架型木馬而引發(fā)的系統(tǒng)后遺癥。由此看來，面對病毒制作者不斷創(chuàng)新的病毒技術(shù)，殺毒廠商們也需要與時俱進了。