说到格式化硬盘都无法删除的“鬼影”、“BMW”等MBR病毒,很多技术大牛很可能会不屑的说“拿分区工具重建下MBR,病毒就直接残废了想怎么杀就怎么杀”。但对于绝大多数普通用户来说,手动重建MBR相当的不现实。这就需要诸多安全厂商发力,无论是先行“主动拦截”,还是事后推出“专杀工具”,都要帮用户真正的干掉MBR病毒。
接下来,就让我们实际考验下国内的四款安全软件:360安全卫士、瑞星、金山毒霸以及腾讯电脑管家,在面对“鬼影3、TDL4、BMW”三代典型MBR病毒时,在主动拦截以及补救查杀上的表现。需要特别强调的是,每个病毒样本在测试时都修改了MD5值,相当于做了简单的“免杀”处理,对于安全软件来说是个“新病毒”,看它们能否巧识病毒真面目。
一、测试过程
1、360安全卫士
首先在纯净系统环境下安装360安全卫士,程序版本及病毒库均更新至最新。然后测试组开始逐一打开3个经免杀处理的MBR病毒样本,很快360木马防火墙弹出警示窗口,提示“发现木马,建议立即清除”,拦截效果较为令人满意。
在360恢复区,可以看到被360安全卫士拦截的MBR病毒,而声名在外的MBR病毒确不容小觑,若不是360安全软件主动拦截,用户几乎不可能发现这一隐蔽性极高且极难查杀的病毒。从恢复区的图中可以看到,这不是一个病毒在战斗,是一窝。
当然对于那些已经不慎感染了MBR的用户来说,如何彻底查杀MBR才是关键。由于MBR病毒最显著的特点就是会先于杀毒软件加载,所以这时候绝大多数杀毒软件都对它无可奈何。360安全卫士推荐使用具备专杀此类MBR病毒的“360系统急救箱”。OK,测试组在360安全卫士功能大全中找到“系统急救箱”并运行,成功查杀MBR病毒。
最后让我们检测下查杀效果如何,重启电脑后使用360安全卫士木马扫描功能,大约3分钟左右扫描结果显示,“未发现木马及其它安全威胁”。这意味着顽固到连格式化硬盘都无法删除的MBR病毒,被360系统急救箱彻底清除殆尽。
2、瑞星杀毒软件
测试瑞星杀毒软件时我们依旧将程序版本和病毒库更新至当前最新,但瑞星相当不给力的表现令测试组成员倒吸一口凉气,不仅和经过免杀处理的“BMW”病毒和谐相处,而且在测试组点击运行“TDL4”病毒时,系统却直接黑屏死机。
同样,测试组成员在预先感染了MBR病毒样本的电脑安装瑞星杀毒软件,以监测其对MBR木马的查杀能力时,测试结果也不太理想。3个病毒样本只检测出了1个,自然也就不用再进行复核查杀效果的测试了。
3、金山毒霸
金山毒霸是参测软件中界面最为花哨的,测试组运行病毒时拦截弹窗也极为迅速,但遗憾的是它和瑞星一样,也栽在了加壳免杀的“TDL4”病毒样本上。
而在测试对MBR病毒查杀能力的测试环节,金山毒霸会自动开启强力查杀模式,按照该模式说明强力查杀是一种清除顽固、恶性病毒的模式,会对系统中的所有可疑项目进行监测,但每次使用都需要更新很长时间。而实际上,测试组在测试之初已将软件升级至最新,推测金山毒霸会联网下载针对某类病毒的专杀模块。
强力查杀模式后效果会显著提升吗?测试结果表明这次连本来能拦截的“BMW”病毒都扫不出来了,这一诡异的变化令测试组成员百思不得其解。尽管扫描病毒的主要任务没有完成,但金山毒霸却扫出来一个MP3播放器漏洞,给人一种不务主业的感觉。
而在测试组完成测试准备重启系统复查病毒清理效果时,系统开机出现蓝屏故障,随后进入“Windows错误恢复”页面。反复修复之后都无法正常进入系统之后,测试组成员只得重装系统,具体原因不明。
4、QQ电脑管家+顽固木马克星
最后一款测试软件是腾讯旗下的QQ电脑管家,其能力是否与巨无霸企鹅一样强悍?一试便知,测试组挨个点击三款加壳免杀MBR病毒样本,电脑管家迅速弹出“文件系统防护”窗口,并较为详细的标出了内核级木马的定义。
但遗憾的是拦截成绩却比较惨淡,3个病毒样本仅拦截到了1个。很显然,加壳免杀的木马骗过了QQ电脑管家的安全机制。
而在已感染MBR病毒的电脑系统中启动电脑管家,检测其对MBR病毒的查杀能力时。电脑管家稍有进步,查杀了2个样本。
但当测试组重启电脑复核查杀结果时,电脑管家提示可以用顽固木马克星查杀,遗憾的是“顽固木马克星”依然没能检测到最后一个遗漏的病毒。
二、测试总结
通过测试不难发现,除瑞星外,其他软件都有类似“强力查杀、顽固木马克星、急救箱”的功能或组件,但分析查杀效果,瑞星和金山问题较为突出,甚至可能导致电脑蓝屏,对MBR病毒的防御和查杀能力较弱,安全新军腾讯表现稍好,但仍然不能彻底查杀,在安全技术的积累上尚欠火候。
反观360安全卫士+系统急救箱的组合拳应变能力十分出色,不仅能直接掐断MBR病毒的主要传播途径,而且能帮已感染用户彻杀MBR病毒。故测试组一致认为,在这次国内四大安全厂商应对MBR类病毒的大考中,360的技术能力领先于国内其它厂商,推荐网民使用。