【51CTO.com 綜合消息】從2010年初到現在，一種全新的木馬大規模的爆發。它們擁有多重病毒的特性，有的時候好像計算機木馬一樣竊取帳號密碼，而有的時候又好像流氓軟件篡改系統的相關屬性，所以網友們習慣將這類病毒稱之為“綁架型木馬”。那么對付這樣的病毒木馬，殺毒軟件還可以勝任嗎？今天我們就來看看國內常見的幾款殺毒軟件，在對付這類“綁架型木馬”的時候結果會怎樣。

一、測試環境

既然是進行殺毒軟件的測試操作，那么首先需要尋找一個“綁架型木馬”的樣本，于是我在國內知名的安全論壇“卡飯”，找到一個標題名為“生成ie圖標和淘寶圖標”的病毒樣本。這個病毒運作以后，會在系統的桌面和快捷啟動欄中，生成一個虛假的淘寶圖標和IE瀏覽器圖標。當用戶點擊虛假的IE瀏覽器圖標后，會自動連接到一個導航網站的首頁。當用戶點擊虛假的淘寶圖標后，會自動連接到淘寶網的“特賣頻道”網頁。而今天測試的殺毒軟件，包括360殺毒、瑞星殺毒軟件、金山毒霸、NOD32和卡巴斯基，測試的殺毒軟件版本都是各自當前最新的正式版。

圖（1）

二、測試結果

首先我們在虛擬機里面運行這個病毒樣本，接下來在分別安裝運行每個殺毒軟件。通過殺毒軟件對系統進行掃描分析，來看看殺毒軟件是否可以對病毒進行清除，并且是否可以對虛假的圖標進行清除操作。

1.瑞星殺毒軟件 2010

瑞星殺毒軟件的掃描比較緩慢，可是最終一個病毒文件都沒有分析出來，同樣也沒有分析出桌面上的虛假圖標。看來瑞星殺毒軟件還沒有收錄這個病毒樣本，所以無法對這個病毒文件進行查殺，當然也無法指望它清除系統桌面中的虛假圖標。

圖（2）

2.金山毒霸 2011 SP3

金山毒霸的分析過程比較快，而且給出了病毒木馬文件、修改IE默認設置的病毒、以及存在異常的快捷方式等提示，從這我們就可以看出金山毒霸已經將病毒的主要體現都分析出來呢。點擊“立即處理”按鈕后，金山毒霸將系統桌面的病毒文件進行清除，但是位于桌面上的虛假圖標居然紋絲未動。不過當我在點擊“返回”按鈕后，金山毒霸提示有病毒需要重新啟動后才可以刪除。于是按照要求重新啟動操作系統，果然在重新啟動以后虛假圖標得以清除。為了避免虛假圖標會重新出現，我又觀察了一個多小時的時間，發現虛假圖標的卻是沒有再出現呢。

圖（3）

3.360殺毒 1.2

360殺毒的分析過程還不錯，因為很快就提示用戶有“危險的桌面圖標”，并且成功的分析出了病毒樣本的文件。當我們點擊殺毒軟件的“開始處理”按鈕后，可以看見病毒樣本的文件被成功刪除，與此同時桌面的虛假圖標也被成功的進行刪除。正在我暗自慶幸的時候，這些虛假圖標又自動出現在系統桌面和快速啟動欄，看來360殺毒對虛假圖標的處理非常不徹底。于是我又重新利用360殺毒進行再次掃描，可是非常悲劇的一幕出現呢。在掃描的過程中，360殺毒掃描服務意外終止，提示用戶用急救箱進行修復。看來想指望360殺毒來清除虛假圖標是不現實的呢。

圖（4）

4.NOD32 4.2

NOD32秉承了它一貫掃描速度快的特征，利用極短的時間就分析出兩個病毒文件。分別是系統桌面和系統目錄中的病毒文件，并且利用自身的功能對其進行了清除操作。不過可惜的是NOD32并沒有分析出系統桌面的虛假圖標，所以也不能對這些圖標進行刪除操作，以及修復這個病毒對系統屬性的破壞。

圖（5）

5.卡巴斯基 2011

其實還沒有利用卡巴斯基進行掃描，它的實時監控功能就開始彈出提示框，告知用戶系統里面存在病毒并進行刪除。可是當卡巴斯基將其刪除以后，這些病毒文件又很快的衍生出來，這樣刪了出到出了刪的過程就周而復始的進行著。這樣當卡巴斯基對磁盤掃描完成以后，存在于系統桌面和系統目錄中的文件同樣存在。而且卡巴斯基也沒有分析虛假圖標的相關功能，所以自然而然也不能對這些圖標進行刪除操作。

圖（6）

小結：2010年，殺毒圈里流傳了一句話，“綁架型木馬就像中風，后遺癥害死人”。意思是說，殺毒軟件在用戶的電腦中發現一個綁架型木馬的文件不難，而且也很容易就可以查殺掉。但查殺后，用戶電腦系統出現的異常問題，以及一些常用軟件無法正常使用等問題，并不是普通的殺毒軟件可以解決的。筆者經過一番測試，發現目前國內的殺毒軟件中，只有啟用了修復引擎的金山毒霸2011 SP3能夠徹底查殺綁架型木馬，并解決因綁架型木馬而引發的系統后遺癥。由此看來，面對病毒制作者不斷創新的病毒技術，殺毒廠商們也需要與時俱進了。