金山毒霸2002的漏洞
网络与通信
金山毒霸2002(以下简称金山毒霸)在过去的一些日子里曾是我心目中最好的杀毒软件,但在一次偶然的情况下,我发现了金山毒霸的一个重大漏洞。究竟是怎样一回事?下面就让我来告诉大家吧!
EXE捆绑机(2002年《电脑报》第6期D5版曾有过相关介绍)属于共享软件,这是一个能够把两个EXE文件(应用程序文件)捆绑成为一个EXE文件的小工具(下载地址是:http://www.greenstuffsoft.com/exebinder.zip)。当你使用它把任何一个文件和一个病毒文件捆绑在一起生成一个新文件时,再利用金山毒霸针对这个文件进行查毒操作的话,会出现查不出病毒的现象。不信?那现在就让我们一起来试试!
第一步:捆绑病毒文件
首先单击“执行文件1”选择第一个文件,这里我选择“winkawaks.exe”(这是没有病毒的);接着单击“执行文件2”选择第二个文件,这里我选择“G_Server.exe”(著名的木马“冰河”);然后单击“目标文件”,选择保存地址和输入文件名,这里键入“Hello”为文件名,按“保存”;最后单击“捆绑”。这样它就会把刚才所选择的两个文件捆绑生成一个叫“Hello”的独立应用文件(图1)。
第二步:利用金山毒霸来查毒
单击菜单中的“查杀病毒”,选择“文件”;然后选取刚才捆绑好的文件“Hello.exe”开始查毒。这时金山毒霸会报告没有发现任何病毒(图2)。
从以上的事例可以看出金山毒霸根本不能查出捆绑后文件所带的病毒,这就是我发现的金山毒霸的漏洞(金山毒霸病毒库版本是当时最新的2002/07/05)。下面我们再来看看其他的杀毒软件会不会也像金山毒霸那样,不能查出捆绑后文件带的病毒。我使用了KV3000杀毒王(病毒库版本是2002/07/05)做测试。
首先,打开KV3000,在KV3000左边的窗口里单击文件查毒,在弹出的窗口里选择捆绑好的“Hello.exe”,单击“打开”开始查毒。结果马上就查出“Hello.exe”带有冰河木马病毒(图3)。从这里我们可以看出KV3000杀毒王可以很顺利地查出捆绑后带病毒的文件。
如果万一有人把病毒和文件捆绑起来,然后发送给别人,若收件人又是使用金山毒霸作为杀毒软件的话,那么收件人的电脑就会染上病毒。轻则会导致该用户的系统崩溃,重则会导致用户的一些重要资料文件丢失。过去我就曾收到别人给我的一个是EXE后缀的Flash文件,打开之后就中了捆绑的木马程序。
编 后
本报编辑试验性的把两个都含有病毒的文件捆绑后,用金山毒霸(病毒库版本是2002/07/22)查毒,依然报无毒。本报编辑立即将此情况反馈给金山公司,第二天上午金山公司就发布了相关的补丁修复了此漏洞(图4),大家现在只需要升级一下自己手中的金山毒霸就可以修补这个漏洞了!
