上次已经对瑞星灰鸽子专杀进行了第一次测试(关于瑞星灰鸽子专杀工具测试(一)),今天继续来进行测试二.本次测试的灰鸽子样本卡巴报告为:Backdoor.Win32.Hupigon.pt,瑞星不能查杀.更加有趣的是这个样本和很多类似的灰鸽子不同的是主程序并不释放.DLL和_HOOK.DLL文件,而是只创建主程序,这样的话可以更好的测试该专杀工具对付不同灰鸽子的效果,同时也可以知道该工具是根据灰鸽子的创建文件规律来判断灰鸽子病毒的.下面是测试的过程:

首先运行病毒样本,随即在WIN目录下创建病毒文件G_Server1.2.exe,同时添加系统服务,名为:GrayPigeonServer;

接下来该病毒文件插入IE中,试图调用IE而保护文件不被轻易删除:

此时如果你掉出任务管理器,试图终止IE进程时,会提示无法终止该程序,拒绝访问:

现在启动瑞星专杀工具,进行杀毒测试,不过结果另人失望:

那么没办法了,只能手动清除它了.

打开注册表编辑器,可以清楚看到灰鸽子创建的系统服务

对应的注册表信息如下(其中包括服务描述,服务程序对应的路径):

在服务中可以清楚见到它(呵呵,虽然设置为自动,不过为什么没有启动呢?因为他现在已经启动了,刚刚不是已经插入了IE中吗,下次就直接作为服务启动了...呵呵):

刚刚上面看见了,由于它没有启动服务,所以可以先删除其服务,删除服务的方法很多,可以直接从注册表中删除,如上面注册表中那个图中对应的服务所有键值;也可以利用第三方工具删除,这里选择的是还是赫赫有名的HiJackThis,运行后可以清楚看到服务中的灰鸽子服务:

选中这项,在前面打上钩后修复就可以了.

删除服务后可以选择2种方式清楚G_Server1.2.exe这个病毒文件:第一种方法是可以借助第三方工具强行结束IEXPLORE进程,然后进入目录删除病毒文件;第二种方法是重新启动后直接删除病毒文件.

总结:

通过2次的测试,瑞星的该工具优缺点暴露出来了.

首先优点是能够判断灰鸽子比较普遍的创建规律而找到系统的中病毒文件和服务,进行清除,虽然清除方面还有一点点的小问题;

缺憾是该工具对于判断灰鸽子病毒的规律并不完全,可以说对于一些非常规的创建方式的灰鸽子辨别比较困难,可能出现辨别不出的现象,因此此工具目前来讲并非一个完美的工具;

当然,这个工具也还是只是1.0版本,相信瑞星以后会更多的升级该工具,同时用多种方式判别和查杀灰鸽子病毒,而且由于我能力有限,也不能完全保证我推断的结果正确,因此对于瑞星的该工具我们应该还是抱有很大的希望,希望它能给广大用户带来方便才是最实在的.