Test khả năng làm "sạch" file "chuẩn" bị nhiễm Sality của Bkav 2011

[Tran Quang Ha]

Test khả năng làm "sạch" file "chuẩn" bị nhiễm Sality của Bkav 2011

- Chào các bạn, hẳn các bạn còn nhớ cách đây gần một năm Q.Hà có bài test khả năng bóc tách mã độc của Bkav (theo cả 2 phương pháp: Bắt cá trên bờ và dưới nước), qua bài test đó chứng minh Bkav đã bóc tách thành công mã độc ra khỏi file chuẩn, file nhiễm sau khi bóc tách mã độc chạy bình thường. Nhưng khi KT các file này trên Total Virus thì vẫn có một số AV đặc biệt là Avast nhận diện là file nhiễm mã độc-> gây ra tâm lý mang mang cho thành viên.

- Nhân Bkav 2011 Beta trên máy tính update lên Bkav 2011 final Q.Hà lấy lại những mẫu đã test ngày trước KT lại. Do ĐK không cho phép Q.Hà chỉ test theo PP “Bắt cá trên bờ” :

1. Tắt thời gian thực của Bkav;
2. Giải nén mẫu;
3. Kiểm tra trên Total Virus;
4. Quét mẫu với Bkav;
5. Kiểm tra mẫu đã bóc tách trên Total Virus.
6. Chạy file mẫu đã bóc tách.

Mẫu là Virus: Virus.Win32.Sality

Trước khi khử nhiễm:

File name: wwmrs.exe
Submission date: 2011-05-06 15:28:50 (UTC)
Current status: finished
Result: 36/ 41 (87.8%)
http://www.virustotal.com/file-scan/...46a-1304695730

File name: winlogon.exe
Submission date: 2011-05-08 00:02:57 (UTC)
Current status: finished
Result: 35/ 42 (83.3%)
http://www.virustotal.com/file-scan/...987-1304812977

Sau khi khử nhiễm:

File name: wwmrs.exe
Submission date:
2011-05-06 15:25:14 (UTC)
Current status: finished
Result: 0/ 42 (0.0%)
http://www.virustotal.com/file-scan/...bee-1304695514

File name: winlogon.exe
Submission date: 2011-05-07 23:59:59 (UTC)
Current status: finished
Result: 1/ 41 (2.4%)
https://www.virustotal.com/file-scan...a30-1304812799

- Chạy file sau khi đã khử nhiễm: File chạy bình thường.


...
KL: Các bạn hãy tự mình kiểm chứng để từ đó rút ra kết luận cho mình nhé.

Mẫu test:

http://www.mediafire.com/?iuohux8az86f6on

@: Bạn nào cần mẫu để test thì PM cho Q.Hà lấy Pass nhé!

[IceSword]

Anh Hà cho em xin mẫu để em test với Nod, không biết thần tượng Nod của em có qua được không hôig hộp quá.

[dangkiena3]

Mình sẽ thử với Avast! xem sao, xưa nay mình vốn không tin avast! lắm, nhất là trong khoản bóc tách virus.

[Tran Quang Ha]

Mình sẽ thử với Avast! xem sao, xưa nay mình vốn không tin avast! lắm, nhất là trong khoản bóc tách virus.

- Đã có KQ cho em đây:

+ Giải nén mẫu:



+ KT file:



Vậy là Avast đã xoas mất file gốc rồi.

- Sẵn tiện máy ảo anh test luôn với NOD v5 Beta, KQ cũng không hơn Avast:

[dangkiena3]

Anh thử với một file hệ thống xem sao? VD winlogon.exe chẳng hạn?

[Tran Quang Ha]

Anh thử với một file hệ thống xem sao? VD winlogon.exe chẳng hạn?

Ok, Cho lây vào hệ thống để lấy file chuẩn của Win bị nhiễm mã độc, test lại với Avast 6 (key xịn nhé!) Và đây là KQ:






- Cách ly thế nào thì hỏng rồi

[pooka]

Đúng là nhiều người cứ tưởng cho vào Quarantin sẽ ... tạm an toàn
Nhưng file hệ thống mà cho vào Quarantin thì ...

[vuha0803]

Ok, Cho lây vào hệ thống để lấy file chuẩn của Win bị nhiễm mã độc, test lại với Avast 6 (key xịn nhé!)

- Cách ly thế nào thì hỏng rồi

Eo thế thì windows đi luôn à?

[hoangtrongkhai]

Test khả năng làm "sạch" file bị nhiễm Sality của Bkav 2011

- Chào các bạn, hẳn các bạn còn nhớ cách đây gần một năm Q.Hà có bài test khả năng bóc tách mã độc của Bkav (theo cả 2 phương pháp: Bắt cá trên bờ và dưới nước), qua bài test đó chứng minh Bkav đã bóc tách thành công mã độc ra khỏi file chuẩn, file nhiễm sau khi bóc tách mã độc chạy bình thường. Nhưng khi KT các file này trên Total Virus thì vẫn có một số AV đặc biệt là Avast nhận diện là file nhiễm mã độc-> gây ra tâm lý mang mang cho thành viên.

- Nhân Bkav 2011 Beta trên máy tính update lên Bkav 2011 final Q.Hà lấy lại những mẫu đã test ngày trước KT lại. Do ĐK không cho phép Q.Hà chỉ test theo PP “Bắt cá trên bờ” :

1. Tắt thời gian thực của Bkav;
2. Giải nén mẫu;
3. Kiểm tra trên Total Virus;
4. Quét mẫu với Bkav;
5. Kiểm tra mẫu đã bóc tách trên Total Virus.
6. Chạy file mẫu đã bóc tách.

Mẫu là Virus: Virus.Win32.Sality.bh

Trước khi khử nhiễm:





Sau khi khử nhiễm:




- Chạy file sau khi đã khử nhiễm: File chạy bình thường.


...
KL: Các bạn hãy tự mình kiểm chứng để từ đó rút ra kết luận cho mình nhé.

@: Bạn nào cần mẫu để test thì PM cho Q.Hà nhé!

cho e mẫu e test thử với anh Quang Hà

[pooka]

Avast và Avira thì vẫn " Bài ca chặt chém " như xưa
NOD32 có hơn một chút nhưng vẫn Delete là nhiều
Khoản bóc gỡ trả lại file sạch trong số các AV ngoại có AVG khả quan hơn Tuy nhiên không hay bằng Bkav được.
Mình vẫn kết cái vụ mang ổ cứng của máy nhiễm VR nặng mang sang máy có Bkav Pro cho quét , hầu hết kết quả tốt

[Tran Quang Ha]

Avast và Avira thì vẫn " Bài ca chặt chém " như xưa

- Avira cũng cải tiến rất nhiều, không còn là cái máy chém nữa anh ạ.

Khoản bóc gỡ trả lại file sạch trong số các AV ngoại có AVG khả quan hơn Tuy nhiên không hay bằng Bkav được. t

- Vâng, AVG cũng mạnh về khoản bóc tách nhưng với dòng Sality này vẫn cần phải cải tiến nhiều lắm.





+ Máy đơ một lúc, Q.Hà tưởng PC bị treo:



+ Kết quả:



+ Tiếp tục bóc tách:





- Thời gian bóc tách mã độc ra khỏi file chuẩn của AVG khá lâu. Nếu các bạn thực hiệu theo kịch bản: Tắt thời gian thực của AVG - Giải nén file mẫu- Quét file thì AVG bắt khởi động lại PC mới bóc tách thành công.

[hadung]

để test thử với KIS xem thế nào

[Tran Quang Ha]

để test thử với KIS xem thế nào

Ok, anh đã up mẫu lên MF rồi (ở bài 1 đó em). Em đọc tin nhắn để lấy pass, nhớ post KQ lên nhé.

[ngatnguong]

Mọi người tin dùng Bkav đã rõ! cái chính là để nhiều người biết và tin vào khả năng bóc tách và an toàn cho pc của Bkav kìa!

[Du Van Dong]

Thank anh vì bài test chuẩn./

[Tran Quang Ha]

Thank anh vì bài test chuẩn./

- Em tham gia đi mẫu anh up lên MF rồi. Ngại cào Kas quá, đang đợi KQ từ bạn hadung.

[duymeo]

Mọi người chú ý có 1 khung ở phần góc giao diện cuối cùng của avast có các tùy chọn: Cách ly, xóa bỏ, diệt...
Đến đây mọi người có thể tùy chọn cho phù hợp, ko cứ là cách ly...
Nếu là bản tiếng anh sẽ có Apply to all (áp dụng cho tất cả các file hình thức delete, disinfected...) mà mọi ng có thể chọn.
Giao diện tiếng Việt cũng tương tự: Áp dụng hành động này cho tất cả (apply to all...).
Như vậy:
- Chọn quarantine - cách lý: Cho kết quả khác;
Chọn delete: Cho kết quả khác;
- Chọn disinfected: Cho kết quả khác.
Có thể mọi người test theo hướng đó. Bkav Pro thông minh là: diệt là diệt, chỉ có 1 sự lựa chọn.

[Tran Quang Ha]

- Hic...hic... em dùng Avast cũng khá lâu rồi anh ạ (từ thời ver 4.8 đến giờ).
- E cũng test theo hướng mà anh đã nêu: trong ảnh test với Avast em đã chọn "sửa chữa" đầu tiên, nhưng Avast không thực hiện được và báo lỗi (ảnh thứ 2) -> đành phải "cách ly" (ảnh thứ 3)

- Chọn sửa chữa:



- Báo lỗi: "không sửa chữa được"



- Cuối cùng phải cách ly:

[nangluong2]

để mình thử với Kis xem, chắc ko có vấn đề gì

[duymeo]

Anh nhìn hình anh hiểu rồi Hà. Vậy sau khi cách lý xong thì em thấy thế nào?
Có thời gian Hà thử test với Avg thì tốt. Avg cũng là 1 siêu thủ chén file hệ thống với dòng lây file. Bản mới chả biết đã cải tiến gì chưa.