VBA32 簡測
2008-02-25 21:58:11 / 個人分類:VBA32
前言 :
自從測殼結果公佈後, 對這套不是很多人使用的防毒軟體開始感到興趣,
不很出名的它卻有著難以抗拒的魅力, 有著可以成為防毒大廠的潛力
簡介 :
VBA32 全名 VirusBlokAda, 意思是"病毒攔截幫手", 是一款出產自白俄羅斯的防毒軟體
它採用以下3款技術, 以偵測已知及未知惡意程式
啟發式分析器 (Heuristic analyzer) : 偵測未知的惡意程式
動態代碼轉換處理模擬器 (Dynamic code translation processor emulator) : 處理經過繁雜加密的惡意程式
MalwareScope™ : 偵測同一系列的變種
界面 :
主畫面
設定
更新
掃瞄
監控
主畫面
檔案防護
撥號程式防護
郵件過濾
Outlook Plugin
指令碼過濾
隔離區
測試 :
偵測率測試
AVPCLUB上, 12月至1月的病毒樣本, 共1032個檔案
偵測率 : 89.24% (計算方式 : (912+9)/1032*100)
掃瞄時間 : 01 小時 29 分 45 秒
掃瞄設定 : 最大
自我防禦測試
Advanced Process Termination 4.0
結果
Simple Process Termination 1.0.0.2
結果
資源佔用 :
閒置
掃瞄時
優點 :
1. 解殼能力不俗
2. MalwareScope™ 技術增加了不少的偵測率
3. 支持多國語言
4. 自我防禦不俗
缺點 :
1. 最大設定下, 掃瞄時間極長
3. 沒有 HIPS
總結 :
VBA32給人的整體印象不錯, 可惜長的掃瞄時間是其致命傷
而且試用手續繁複, 導致VBA32不能普及
後感 :
由於第一次使用SPT測試, 不清楚它顯示的Test failed 是否就是代表無法終止程式
所以自我防禦測試的結果有待驗證
自從測殼結果公佈後, 對這套不是很多人使用的防毒軟體開始感到興趣,
不很出名的它卻有著難以抗拒的魅力, 有著可以成為防毒大廠的潛力
簡介 :
VBA32 全名 VirusBlokAda, 意思是"病毒攔截幫手", 是一款出產自白俄羅斯的防毒軟體
它採用以下3款技術, 以偵測已知及未知惡意程式
啟發式分析器 (Heuristic analyzer) : 偵測未知的惡意程式
動態代碼轉換處理模擬器 (Dynamic code translation processor emulator) : 處理經過繁雜加密的惡意程式
MalwareScope™ : 偵測同一系列的變種
界面 :
主畫面
設定
更新
掃瞄
監控
主畫面
檔案防護
撥號程式防護
郵件過濾
Outlook Plugin
指令碼過濾
隔離區
測試 :
偵測率測試
AVPCLUB上, 12月至1月的病毒樣本, 共1032個檔案
偵測率 : 89.24% (計算方式 : (912+9)/1032*100)
掃瞄時間 : 01 小時 29 分 45 秒
掃瞄設定 : 最大
自我防禦測試
Advanced Process Termination 4.0
結果
| Suspend 1 : PASS | Kill 5 : PASS | Kill 11 : PASS |
| Suspend 2 : PASS | Kill 6 : PASS | Kill 12 : PASS |
| Kill 1 : PASS | Kill 7 : PASS | Kernel Kill 1 : PASS |
| Kill 2 : PASS | Kill 8 : PASS | Kernel Kill 2 : PASS |
| Kill 3 : PASS | Kill 9 : PASS | Crash 1 : PASS |
| Kill 4 : PASS | Kill 10 : PASS | Crash 2 : PASS |
結果
| Method 1 : PASS | Method 7 : PASS | Method 13 : PASS |
| Method 2 : PASS | Method 8 : PASS | Method 14 : PASS |
| Method 3 : PASS | Method 9 : PASS | Method 15 : PASS |
| Method 4 : PASS | Method 10 : PASS | Method 16 : PASS |
| Method 5 : PASS | Method 11 : PASS | |
| Method 6 : PASS | Method 12 : PASS |
閒置
掃瞄時
優點 :
1. 解殼能力不俗
2. MalwareScope™ 技術增加了不少的偵測率
3. 支持多國語言
4. 自我防禦不俗
缺點 :
1. 最大設定下, 掃瞄時間極長
3. 沒有 HIPS
總結 :
VBA32給人的整體印象不錯, 可惜長的掃瞄時間是其致命傷
而且試用手續繁複, 導致VBA32不能普及
後感 :
由於第一次使用SPT測試, 不清楚它顯示的Test failed 是否就是代表無法終止程式
所以自我防禦測試的結果有待驗證
論壇模式 推薦 收藏 等級(0) 編輯 管理 查看(2012) 評論(18)
TAG: VBA32
-
羽白發佈於2008-02-28 17:11:21
-
功能不錯。
只是有時後掃出來的,跟小雨傘的結果不同,我就必須要看一下哪個對錯了。
-
vickyjoy發佈於2008-02-28 16:35:20
-
增加了對VBA32的了解
-
000110
發佈於2008-02-28 14:19:34
-
知道掃瞄時間長的原因了
原來是"處理動作"的問題
剛剛再掃了一次
"處理動作" : Skin
掃瞄時間是 : 00:35:34QUOTE:
Vba32 WinNT Personal 3.12.6.2 / 2008.02.27 23:58 (Vba32.NT.P)
Program settings:
- scan memory (fast mode)
- scan boot sectors
- scan files launched at Windows startup
- scan all files
- scan archives
- skip archives containing viruses, create copies
- detect installers of malware
- scan mail
- detect Spyware, Adware, Riskware
- thorough scanning mode
- heuristic analyzer enabled (Excessive)
- skip suspicious files, create copies
- skip infected files, create copies
- keep report file (Vba32Gui.log)
- add to report file
- display macros information in documents
- "clean" files report information
- create list of infected files (Vba32.lst)
- caching enabled
- place infected files to Quarantine
- place suspicious files to Quarantine
C:\Sample\
C:\Sample\2007-12.1-12.31\1.exe:<SFX>\WINDOWS\SYSTEM32\hal.dll : ok
C:\Sample\2007-12.1-12.31\1.exe : infected Worm.Win32.AutoRun.bkj
C:\Sample\2007-12.1-12.31\1.exe : backup copy created
C:\Sample\2007-12.1-12.31\10.exe:<RAR>\album.jpg : ok
C:\Sample\2007-12.1-12.31\10.exe:<RAR>\winlogoh.exe : infected MalwareScope.Trojan-PSW.Game.14
C:\Sample\2007-12.1-12.31\10.exe : backup copy created
C:\Sample\2007-12.1-12.31\100.exe : infected MalwareScope.Trojan-PSW.Game.1
C:\Sample\2007-12.1-12.31\100.exe : backup copy created
C:\Sample\2007-12.1-12.31\101.exe : ok
C:\Sample\2007-12.1-12.31\102.exe : infected MalwareScope.Trojan-PSW.Game.7
C:\Sample\2007-12.1-12.31\102.exe : backup copy created
C:\Sample\2007-12.1-12.31\103.exe:<RAR>\album.jpg : ok
: : :
: : :
: : :
: : :
C:\Sample\2008-01.01-01.31\95.com : backup copy created
C:\Sample\2008-01.01-01.31\96.com : infected Trojan-PSW.Win32.Magania.dpl
C:\Sample\2008-01.01-01.31\96.com:<RAR>\inst.exe:<SFX>\WINDOWS\HELP\F3C74E3FA248.dll : infected MalwareScope.Trojan-PSW.Game.14
C:\Sample\2008-01.01-01.31\96.com:<RAR>\MyPictures\Desktop.ini : ok
C:\Sample\2008-01.01-01.31\96.com:<RAR>\MyPicture.exe:<RAR>\MyPictures.ini : ok
C:\Sample\2008-01.01-01.31\96.com:<RAR>\MyPicture.exe : ok
C:\Sample\2008-01.01-01.31\96.com:<RAR>\MyPictures\-0042.jpg : ok
C:\Sample\2008-01.01-01.31\96.com:<RAR>\MyPictures\-0039.jpg : ok
C:\Sample\2008-01.01-01.31\96.com:<RAR>\MyPictures\975470287.gif : ok
C:\Sample\2008-01.01-01.31\96.com : backup copy created
C:\Sample\2008-01.01-01.31\97.cmd : infected Trojan-PSW.Win32.Magania.dwn
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\30.sfx.exe : infected Trojan-PSW.Win32.Magania.dwn
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\30.sfx.exe:<RAR>\30.exe:<SFX>\WINDOWS\SYSTEM32\drivers\ntfs.sys : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\30.sfx.exe:<RAR>\30.exe : infected Trojan-PSW.Win32.Magania.dwn
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\168_325566_f54679f96e1c490 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\168_378561_7ccc6cb8001c00f [%P].jpg : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\2005610010104150 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\242965581_9faa239705_o [%P].jpg : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\harajuku-15 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\harajuku-6 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\97.cmd:<RAR>\mm\Thumbs.db : ok
C:\Sample\2008-01.01-01.31\97.cmd : backup copy created
C:\Sample\2008-01.01-01.31\98.cmd : infected Trojan-PSW.Win32.OnLineGames.pcs
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\15.sfx.exe : infected Trojan-PSW.Win32.OnLineGames.pcs
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\15.sfx.exe:<RAR>\15.exe:<SFX>\WINDOWS\SYSTEM32\drivers\ntfs.sys : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\15.sfx.exe:<RAR>\15.exe : infected Trojan-PSW.Win32.OnLineGames.pcs
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\168_279734_1e31bce3e9a9fc5 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\168_279734_1eae37ce5680c24 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\102qwhz [%P].jpg : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\168_159976_6cb78402ee91f9f [%P].jpg : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\49p [%P].jpg : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\168_193519_3a0a1dc1b0b5db4 [%P].jpg : ok
C:\Sample\2008-01.01-01.31\98.cmd:<RAR>\mm\Thumbs.db : ok
C:\Sample\2008-01.01-01.31\98.cmd : backup copy created
C:\Sample\2008-01.01-01.31\99.com : infected Trojan-PSW.Win32.Magania.clx
C:\Sample\2008-01.01-01.31\99.com:<RAR>\Setup.exe:<SFX>\WINDOWS\SYSTEM32\hal.dll : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\Setup.exe : infected Trojan-PSW.Win32.Magania.clx
C:\Sample\2008-01.01-01.31\99.com:<RAR>\inst.exe : infected Trojan.MulDrop.7062
C:\Sample\2008-01.01-01.31\99.com:<RAR>\inst.exe:<RAR>\inst.txt : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\MyPic\Desktop.ini : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\MyPic\patr13a065.jpg : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\MyPic\c11.jpg : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\MyPic\pissing_girls_10010-068.jpg : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\MyPic\s6.jpg : ok
C:\Sample\2008-01.01-01.31\99.com:<RAR>\MyPic\sata0187.jpg : ok
C:\Sample\2008-01.01-01.31\99.com : backup copy created
Directories : 2 Files in archives: Files on disks:
Archives: - total : 725 - total : 1032
- scanned : 370 - scanned : 725 - scanned : 1032
- contain viruses : 186 - infected : 203 - infected : 916
- deleted : 0 - suspicious : 0 - suspicious : 8
Startup : 13:33:20 28-02-2008
End : 14:09:00 28-02-2008
Total time : 00:35:34
-
000110
發佈於2008-02-28 13:13:56
-
QUOTE:
原帖由 integear 於 2008-2-28 08:00 發表
處理上報的速度不快, 小弟在測試時把報啟發的9個檔案透過內建的功能上報
忘了問上報處理速度是多快
?
另外推測樓主之所以掃1千多個檔案這麼慢,是因為其中混雜許多加殼檔案,這是每個廠商掃描都無法避免的問題
.
可皆事過3日, 到目前仍未收到回覆信
要試試透過電郵上報
-
integear發佈於2008-02-28 08:00:54
-
QUOTE:
原帖由 couldsst 於 2008-2-26 15:21 發表
忘了問上報處理速度是多快
VBA32 偵測率這部分來說確實做的不錯
上報反應速度也算及格~~(以小弟的觀點來看)
確點就是 000110 大說的掃描時間滿驚人的 ?
另外推測樓主之所以掃1千多個檔案這麼慢,是因為其中混雜許多加殼檔案,這是每個廠商掃描都無法避免的問題 .
-
integear發佈於2008-02-26 22:49:34
-
QUOTE:
原帖由 000110 於 2008-2-26 22:47 發表
恩,就是因為交換來交換去的,搞不好連誤報自己都不曉得
未使用VBA32時, 以為它是用Kaspersky 的引擎
安裝後才知, 不是使用Kaspersky 的引擎, 而是交換特徵碼/Kaspersky 提供特徵碼 (像Avira AntiVir, Ikarus...) .
ClamAV就是很鮮明的例子
.
-
000110
發佈於2008-02-26 22:47:08
-
QUOTE:
原帖由 integear 於 2008-2-26 22:41 發表
未使用VBA32時, 以為它是用Kaspersky 的引擎
掃描時可以不用開"偏執狂"啟發式,那是庸人自擾 .
不過VBA32有時候會用和Kaspersky一樣的威脅特徵碼,不是看得很順眼
.
安裝後才知, 不是使用Kaspersky 的引擎, 而是交換特徵碼/Kaspersky 提供特徵碼 (像Avira AntiVir, Ikarus...)
小弟不清楚是不是因為"偏執狂"啟發式而導致掃瞄時增加
Thorough Mode 的影響可能更大過"偏執狂"啟發式
[ 本帖最後由 000110 於 2008-2-26 22:51 編輯 ]
-
integear發佈於2008-02-26 22:41:54
-
掃描時可以不用開"偏執狂"啟發式,那是庸人自擾 .
不過VBA32有時候會用和Kaspersky一樣的威脅特徵碼,不是看得很順眼 .
-
couldsst
發佈於2008-02-26 15:21:26
-
VBA32 偵測率這部分來說確實做的不錯
上報反應速度也算及格~~(以小弟的觀點來看)
確點就是 000110 大說的掃描時間滿驚人的
-
紅心王子發佈於2008-02-26 13:49:53
-
虽然没用过,但是还是要支持下楼主的文章
介绍的比较详细
-
ㄚ一
發佈於2008-02-26 10:19:40
-
SPT的Test failed不見得表示測試失敗
有的軟體會以服務的方式自動重新啟動
雖然顯示測試失敗,但其實並沒有成功中止
-
STONE發佈於2008-02-26 09:57:07
-
我比較好奇的是自我防禦測試的那二隻程式
可否分享一下!
-
000110
發佈於2008-02-26 01:05:23
-
QUOTE:
原帖由 Mr.Z 於 2008-2-26 00:47 發表
報破解檔嗎?
但你從哪裡取材的?
VBA常報一些破解檔為木馬..DROPPER等等...其實那都是正常檔
同時報的都為高誤報的防毒...主流都不報...是紅傘和AVAST有時也加入其中
序號機應該也算是破解檔這一類吧
但是真的看不出它是高誤報, 可能是樣本過少
底下是VBA32掃瞄破解檔/序號機的報告QUOTE:
Vba32 WinNT Personal 3.12.6.1 / 2008.02.25 10:18 (Vba32.NT.P)
Program settings:
- scan memory (fast mode)
- scan boot sectors
- scan files launched at Windows startup
- scan all files
- scan archives
- skip archives containing viruses, create copies
- detect installers of malware
- scan mail
- detect Spyware, Adware, Riskware
- thorough scanning mode
- heuristic analyzer enabled (Excessive)
- skip suspicious files, create copies
- skip infected files, create copies
- keep report file (Vba32Gui.log)
- add to report file
- display macros information in documents
- "clean" files report information
- create list of infected files (Vba32.lst)
- caching enabled
- place infected files to Quarantine
- place suspicious files to Quarantine
C:\新資料夾\
C:\新資料夾\8.1 patch.exe:<SFX>\WINDOWS\SYSTEM32\BASSMOD.dll : ok
C:\新資料夾\8.1 patch.exe : ok
C:\新資料夾\ACDSee 9 破解檔.RAR:<RAR>\ACDSee9.exe : ok
C:\新資料夾\ACDSee 9 破解檔.RAR : ok
C:\新資料夾\Flashget 1.71 keygen.zip:<ZIP>\tsrh.nfo : ok
C:\新資料夾\Flashget 1.71 keygen.zip:<ZIP>\file_id.diz : ok
C:\新資料夾\Flashget 1.71 keygen.zip:<ZIP>\Keygen.exe : ok
C:\新資料夾\Flashget 1.71 keygen.zip:<ZIP>\EASYCRACKS.NET.NFO : ok
C:\新資料夾\Flashget 1.71 keygen.zip : ok
C:\新資料夾\Keygen.exe : ok
C:\新資料夾\keymaker 1.9.6.5429.exe : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMP\nsk2840310.tmp : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\banner.ini : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\boptions.ini : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\intro.ini : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\newadvsplash.dll : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\personalize.ini : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\splash.gif : ok
C:\新資料夾\messpatch-g5-81178.exe:<SFX>\TEMPnse20470629.tmp\tabserve.ini : ok
C:\新資料夾\messpatch-g5-81178.exe : ok
C:\新資料夾\Nero 7.x Keygen.exe : ok
C:\新資料夾\patch.exe : ok
C:\新資料夾\Real Payer 10.5 升級破解 (Activator v4.2).exe:<RAR>\activator42.exe : ok
C:\新資料夾\Real Payer 10.5 升級破解 (Activator v4.2).exe : ok
C:\新資料夾\Real Payer 10.5 升級破解 (Activator v4.3).exe:<RAR>\activator43.exe : ok
C:\新資料夾\Real Payer 10.5 升級破解 (Activator v4.3).exe : ok
C:\新資料夾\Real Payer 10.6 升級破解 (Activator v5.11).exe:<RAR>\activator_5.11.exe : ok
C:\新資料夾\Real Payer 10.6 升級破解 (Activator v5.11).exe : ok
C:\新資料夾\Real Player 10 升級破解 (Activator v4).exe:<RAR>\activator4.exe : ok
C:\新資料夾\Real Player 10 升級破解 (Activator v4).exe : ok
C:\新資料夾\Real Player 11 升級破解 (Activator v1).exe:<RAR>\rp11_Activator.exe : ok
C:\新資料夾\Real Player 11 升級破解 (Activator v1).exe : ok
C:\新資料夾\RealOnePlayer 升級破解.exe:<RAR>\RealOnePatch.exe : ok
C:\新資料夾\RealOnePlayer 升級破解.exe : ok
Directories : 0 Files in archives: Files on disks:
Archives: - total : 20 - total : 14
- scanned : 10 - scanned : 20 - scanned : 14
- contain viruses : 0 - infected : 0 - infected : 0
- deleted : 0 - suspicious : 0 - suspicious : 0
Startup : 01:01:48 26-02-2008
End : 01:02:24 26-02-2008
Total time : 00:00:36
-
Mr.Z發佈於2008-02-26 00:47:17
-
QUOTE:
原帖由 000110 於 2008-2-26 00:42 發表
但你從哪裡取材的?
很多人都說VBA32的誤報率高, 但小弟在測試中沒有這個情形
遇過的情況只有把駭客工具當病毒, 但這情況在很多的防毒軟體也有出現, 畢竟駭客工具有著危險性
VBA常報一些破解檔為木馬..DROPPER等等...其實那都是正常檔
同時報的都為高誤報的防毒...主流都不報...是紅傘和AVAST有時也加入其中
-
000110
發佈於2008-02-26 00:42:27
-
QUOTE:
原帖由 Mr.Z 於 2008-2-26 00:33 發表
很多人都說VBA32的誤報率高, 但小弟在測試中沒有這個情形
其實防毒軟件和HIPS沒有必然關係..沒有HIPS不應當作一個缺點..反而誤報率高就是其中一個缺點
遇過的情況只有把駭客工具當病毒, 但這情況在很多的防毒軟體也有出現, 畢竟駭客工具有著危險性
寫評測的文章, 小弟還是新手, 大家要多多包涵
[ 本帖最後由 000110 於 2008-2-26 00:45 編輯 ]
-
Mr.Z發佈於2008-02-26 00:33:55
-
QUOTE:
原帖由 000110 於 2008-2-25 21:55 發表
其實防毒軟件和HIPS沒有必然關係..沒有HIPS不應當作一個缺點..反而誤報率高就是其中一個缺點
前言 :
自從測殼結果公佈後, 對這套不是很多人使用的防毒軟體開始感到興趣,
不很出名的它卻有著難以抗拒的魅力, 有著可以成為防毒大廠的潛力
簡介 :
VBA32 全名 VirusBlokAda, 意思是"病毒攔截幫手", 是一款 ...
-
shisin發佈於2008-02-25 23:11:57
-
謝謝您的文章,對VBA認識了不少
2.GIF)
-
hzqedison發佈於2008-02-25 22:00:51
-
MalwareScope™
額 這又是啥技術-.-...現在殺軟都是號稱自己有什麽什麽技術 其實都差不多