变态评测大蜘蛛:4组509个病毒轮番攻击

　　上月，笔者在使用Dr.Web大蜘蛛反病毒软件一个月后对其进行了一次评测，因使用时间较短，对其查杀病毒能力还心存疑虑，仅以“裸奔”一个月后本机感染的病毒进行了查杀测试，虽然大蜘蛛的表现令人比较满意，但这似乎并没有满足广大网友们的胃口。

　　点击下载：Dr.Web大蜘蛛反病毒2008专业版

　　所以，今天笔者下载了大量最新、最流行的病毒样本对其进行“狂轰滥炸”式的攻击，看看其究竟能否经得住这帮“杀手”的考验。同时也验证一下这个被称为俄罗斯国防部唯一授权杀毒软件的大蜘蛛是果真名不虚传，还是徒有虚名？

　　此次评测，笔者将以网友上传到网上的最新病毒样本进行综合测试。主要以测试大蜘蛛查杀病毒能力为主，其它功能为辅。若网友对大蜘蛛其它方面的功能不太了解的话，可以参照以下两篇文章。

　　热文推荐：俄罗斯军方专用杀毒软件"大蜘蛛"试用

　　热文推荐：深度评测:俄国防部唯一授权杀软大蜘蛛

　　论坛提供的病毒样本及其测试数据说明：

　　笔者以从国内多个知名论坛收集的“6月28日至7月4日病毒样本”进行测试。

　　测试数据来源：网友提供测试数据及杀毒软件杀毒截图

　　这是一个由论坛版主发起的杀毒软件集中测试活动。论坛版主为广大网友提供6月28日至7月4日病毒样本下载链接，网友用自己计算机中安装的杀毒软件进行病毒扫描，然后将结果和截图上传至论坛，再由论坛版主统一将测试数据发布，得出了如图2所示的结果。

图1 国内某知名论坛发起的病毒样本集中测试活动

图2 网友测试后的结果通报

　　因版主并未说明病毒样本包中究竟含有多少病毒，而且网友提供的数据显示杀毒软件查杀出来的病毒数量最少286个，最多763个，病毒数量比较悬殊，所以笔者也就不谈论网友提供的数据的真实性了，只以多数杀毒软件查杀病毒数量（450个左右）为参考依据。

图3 大蜘蛛扫描该病毒样本的结果

　　从大蜘蛛的扫描结果看，总计扫描出了450个病毒（感染414个，可疑对象10个，广告软件25个），耗时33秒。

图4 大蜘蛛扫描该病毒样本的数量与网友提供的数据对比

图5 大蜘蛛扫描该病毒样本的时间与网友提供的数据对比

　　小结：

　　从图4中，我们可以清楚的看到，大蜘蛛对病毒样本的扫描结果还是令人非常满意的。从图5扫描时间的对比中，大蜘蛛的时间来说是处于中上游水平（以网友提供的数据为参照）。

　　经常接触杀毒软件或安全软件的用户应该知道，对于发现可疑对象或病毒的处理方式大多采取“允许”、“隔离”、“删除”、“添加到信任列表”的方式告知用户，给用户极大自主选择权的同时，但不免也给用户带来很多不必要的麻烦。因为用户首先得明白这是什么，危不危险后，才可以对其作出准确的判断，否则，判断错误或左右为难都会给用户带来麻烦。

　　笔者以“360安全卫士”为例来说明一下。当360安全卫士发现系统存在修改或异常行为，便会蹦出一个窗口问用户是“允许”还是“拒绝”该行为，丝毫不对该行为做任何危险性判断，只是弹出一个不负责任的提示。

　　从一方面讲是怕发生误杀现象，从另一方面讲是对用户的不负责任，也是对自己能力的不自信（是你自己选错的，我又没叫你选择“允许”，跟我没关系）。那么，大蜘蛛对于异常行为采取的是什么态度呢？是不是也会担心发生“误杀门”而无所作为呢？

　　笔者对刚才测试的病毒样本包进行了解压缩，刚一解压，便弹出了“病毒警报”的提示窗口。你可以看到，在六种处理方式中，“忽略”（即允许）和“修复”功能是无效的，用户只能从其它四种方式中选择（虽然方式不同，但表达的意思是一样的——拒绝），同时该窗口将无法“关闭”。

图6 大蜘蛛认定的病毒决不“放过”

　　对于病毒样本包中可以修复的对象，“修复”功能才可能开启，但“忽略”功能依旧被禁用（因为修复不一定成功）。

图7 大蜘蛛可以修复文件，但也不会轻易“放行”

　　当遇到可疑对象但危险不是很大时，大蜘蛛的“忽略”功能才有可能启用。如图8是笔者在安装360安全卫士时大蜘蛛弹出的“病毒警报”窗口，其“忽略”功能是开启的（即允许安装）。

图8 大蜘蛛发现360安全卫士的文件可能已被感染

图9 病毒文件已被删除

图10 被感染的文件已修复

　　小结：

　　在对该病毒样本进行解压缩的过程中，大蜘蛛绝大多数情况下让笔者选择“拒绝”操作（笔者全以“删除”作罢），只有少数几个病毒开启了“修复”功能，但整个解压缩过程未出现一次“忽略”功能开启的状况。

　　但大蜘蛛同时也给用户带来了另一个麻烦，就是当弹出“病毒警报”窗口后，用户必须一一选择如何处理发现的威胁，尚未提供统一处理的功能。如果病毒数量太多的话，用户只能不停地点击鼠标了。

　　经常可以看到网友将自己新发现的病毒样本上传至网上供大家一起学习或预防，所以笔者就在国内某一知名论坛上分别下载了网友上传于7月4日、5日、8日的病毒包，用大蜘蛛进行病毒扫描。

　　网友于7月4日上传的病毒样本信息：

图11 7月4日网友上传的病毒样本信息

图12 大蜘蛛扫描7月4日网友上传的病毒样本结果

　　网友于7月5日上传的病毒样本信息：

图13 7月5日网友上传的病毒样本信息

图14 大蜘蛛扫描7月5日网友上传的病毒样本结果

　　网友于7月8日上传的病毒样本信息：

图15 7月8日网友上传的病毒样本信息

图16 大蜘蛛扫描7月8日网友上传的病毒样本结果

图17 大蜘蛛扫描网友上传的三个病毒样本结果

    小结：

    从大蜘蛛扫描结果来看，7月4日的病毒样本大蜘蛛扫描后发现的病毒数量远远多于网友标注的数量；7月5日的病毒样本数量与网友提供的数据相同；但7月8日提供的病毒样本，大蜘蛛未将病毒全部扫描出来（扫描是在7月9日进行），至于那个“漏网之鱼”为什么没被揪出来，原因应该很多，但大蜘蛛总体查杀病毒水平还是比较强悍的。

    目前，用邮件传播病毒也是比较常见的一种形式。所以，大蜘蛛专门有一个服务“SpIDer Mail”主要是用来监测用户收发邮件的。那么我们就看看它会有什么样的表现。

    笔者使用Foxmail向其它邮箱发送了一份带病毒的邮件，即将接近成功时，弹出了“病毒警报”的提示窗口。

图18 邮件发送中

图19 大蜘蛛发现邮件中含有病毒，并将邮件复制至隔离区

图20 邮件含有病毒

图21 被复制至隔离区的邮件信息

    笔者直接从邮箱中发送带病毒的邮件，虽未弹出大蜘蛛的“病毒警报”窗口，但该邮件却依然发送成功，同时报告“邮件已通过卡巴斯基杀毒引擎扫描”的提示（如图23）。

图22 在126邮箱中发送邮件

图23 邮件发送成功，并通过卡巴斯基的扫描

    说明：

    虽然第一封邮件未发送成功，第二封邮件发送成功，但是笔者至今未收到这两份邮件。可能是该邮件未通过中关村在线的邮件服务器验证（带病毒）而未转发至笔者的邮箱；也有可能是126邮箱显示邮件发送成功，但却做了丢弃处理；或其它。

    小结：

    笔者使用Foxmail发送邮件时，大蜘蛛可以迅速作出病毒告警，但直接在邮箱中发送时并未弹出病毒报警。因为二者使用了不同的端口号，使得大蜘蛛没有监测到。但从另一方面说明，收发邮件使用邮件客户端工具对于预防邮件病毒更为有效。

    对于经常进行收发邮件工作的用户，笔者建议还是尽量使用邮件客户端工具，避免杀毒软件无法对其进行监测，给你带来不必要的麻烦。

    大家都知道，大蜘蛛与其它杀毒软件相比，最大的不同就是它不会对不执行任何操作的程序或文件进行自动监测扫描，一旦发现其有任何举动，立即对其进行病毒跟踪扫描。所以使得大蜘蛛在正常运行的情况下占用的系统资源非常低（扫描程序一般不会自动启用，而启动的是监测程序）。

    当进行文件安装时，大蜘蛛会一路“跟踪”软件的安装过程，全程“护送”软件安装到用户系统中，发现异常立即报告。

图24 大蜘蛛实时监控软件安装过程

    应用进程启动时，也会对其进行监控扫描。

图25 大蜘蛛扫描应用程序的启动过程

    网页浏览时，也会对该网页进行快速扫描。

图26 大蜘蛛对网页进行扫描

    发现可以对象，立刻报警，请示用户如何处理。

图27 大蜘蛛发现可疑对象

    IE临时文件将是大蜘蛛重点扫描的对象。

图28 大蜘蛛在IE临时文件中监测到病毒

    小结：

    比起其它杀毒软件的全程跟踪来说，大蜘蛛用占用很低资源的监测程序代替了占用很多资源并常驻内存的扫描程序。在病毒防护能力等同的情况下，同时也节约了系统资源，提高了系统的运行速度。

    在测试过程中，笔者对某些病毒进行了“放水”，看看其日后能否再将这些“不速之客”从系统中清除出去。结果令笔者还是比较满意的，对系统盘进行了一次扫描，病毒全被大蜘蛛无情地揪了出来。

图29 迅雷6未发现病毒，显示“安全”

图30 大蜘蛛对系统盘进行扫描，发现不少病毒

    大蜘蛛超低资源占用率一直让其它同类杀毒软件望尘莫及。

图31 大蜘蛛占用的资源非常低

    小结：

    大蜘蛛对系统的保护还是另笔者比较满意的，毕竟能用最少的资源完成，甚至超过同类软件所完成的任务，应该还是让人比较认可、赞同的。

    评测总结：

    从以上几类最新病毒样本的查杀情况看，大蜘蛛的表现还是令人比较满意的。虽然在7月8日的那个病毒样本中出现了“意外”，但总体查杀病毒的能力还是令人比较信服的。同时对于病毒的处理方式采用非常负责任的态度也是另人比较满意的，只有勇于承担误杀事件所带来的风险，才能避免误杀事件的发生。

    对于邮件的监控能力也是首屈一指的，而且反映速度也相当灵敏。对堵住通过邮件传播病毒的后门起到了非常重要的作用。同时，建议那些经常进行邮件收发操作的用户尽量使用邮件客户端工具进行邮件的收发。

    最后，较低的资源占用率一直是笔者比较推崇的一个特点，虽说目前已是一个大内存的时代，但相比之下，其它的应用程序内存占用率也在大幅提高，如果能用最少的资源完成同样的任务，那为什么不试一试这个出身“豪门”的Dr.Web大蜘蛛呢？