今天上午一位网友跟我说,他通过电子邮箱的给客户发的excel文件,随后客户反映该excel文件包含病毒。这位网友用电脑中装的360杀毒软件对该excel文件进行了扫描,结果360杀毒软件没有提示发现病毒。

  前两天正好看到一则题为《五款安全软件宏病毒查杀修复效果横评测试》的信息,文中称在纯净的Windows 7平台上用20个被宏病毒感染的Office文档样本(包括DOC与XLS文件)对360杀毒、NOD32、卡巴斯基、金山毒霸、瑞星五款杀毒软件进行了宏病毒查杀修复评测,最后得出的结论是:

  综合此次测试结果,拥有单独的宏病毒查杀引擎的360杀毒4.0版的表现最为出众,不仅能有效查杀寄生在Office文档中的宏病毒,还能修复染毒文档恢复正常使用,这对普通用户来说非常的实用。老牌杀毒厂商卡巴斯基的表现也很不俗,特别是在病毒查杀方面。金山与瑞星两家国内老牌杀软还则需要在宏病毒查杀上多下功夫了。

  我还来从来见过360杀毒软件检测出宠病毒的,对这个测试结论相当惊讶。于是让网友把该excel文件通过QQ传了过来,我电脑中的瑞星全功能版(23.00.76.73)监控没有反应。于是将该excel文件加密码压缩备份,然后右击该excel文件,使用瑞星杀毒,结果如下:


查杀记录为:

  发现并清除了Trojan.Script.VBS.Dole.a和Trojan.Script.VBS.Dole.e。

  让网友把360杀毒软件卸掉,装上瑞星杀毒软件全面扫描,结果在一堆excel文件中发现并清除了宠病毒……

 

  今晚为了把带毒文件上传到virustotal上测试,我从压缩文件中解压带毒的excel文件,这次瑞星监控有反应了:

  只好把瑞星监控关掉,再解压上传,扫描结果如下:

https://www.virustotal.com/file/a48b0dc978971f9ed4434a5f1c18f0723c3215a4b067b045b05ba5d9875fff0f/analysis/1355146758/

SHA256: a48b0dc978971f9ed4434a5f1c18f0723c3215a4b067b045b05ba5d9875fff0f
SHA1: e03574768c8838c1a87c8fd60c2f7ceef7ce51de
MD5: a7dae86ec4d15fcab9c2f5081d9bbe5a
File size: 84.0 KB ( 86016 bytes )
File name: 1.xls
File type: MS Excel Spreadsheet
Detection ratio: 33 / 44
Analysis date: 2012-12-10 13:39:18 UTC ( 0 分钟 ago )

Antivirus Result Update
ViRobot X97M.X97M.Ecsys 20121210
VIPRE Virus.MSExcel.Mailcab.a (v) 20121210
VBA32 - 20121210
TrendMicro-HouseCall TROJ_GEN.F47V0914 20121210
TrendMicro X97M_OLEMAL.A 20121210
TotalDefense Mailcab.A 20121210
TheHacker X97M/Generico 20121210
Symantec XM.Mailcab@mm 20121210
SUPERAntiSpyware - 20121210
Sophos XM97/MailCab-A 20121210
Rising Trojan.Script.VBS.Dole.a 20121210
Panda X97M/Mailcab.b 20121210
nProtect X97M.Mailcab.A@mm 20121210
Norman - 20121209
NANO-Antivirus Virus.Macro.Agent.ssfat 20121210
MicroWorld-eScan - 20121210
Microsoft Virus:X97M/Mailcab.A 20121210
McAfee X97M/Generic@MM 20121210
Malwarebytes - 20121210
Kingsoft - 20121210
Kaspersky Virus.MSExcel.Agent.f 20121210
K7AntiVirus Virus 20121208
Jiangmin XM.DelAll.ra 20121210
Ikarus X97.DelAll 20121210
GData X97M.Mailcab.A@mm 20121210
Fortinet X97M/Agent.F@mm 20121210
F-Secure X97M.Mailcab.A@mm 20121210
F-Prot X97M/MailCab.A 20121210
ESET-NOD32 X97M/Mailcab.A 20121210
eSafe - 20121205
Emsisoft X97M.Mailcab.A@mm (B) 20121210
DrWeb W97M.Keylog.1 20121210
Comodo Worm.MSExcel.Mailcab.A 20121210
Commtouch X97M/MailCab.A 20121210
ClamAV X97M.Agent 20121210
CAT-QuickHeal - 20121210
ByteHero - 20121130
BitDefender X97M.Mailcab.A@mm 20121210
AVG X97M/Dropper.Agent.B 20121210
Avast MX97:Dropper-F [Trj] 20121210
Antiy-AVL - 20121204
AntiVir X2000M/Mailcab.A 20121210
AhnLab-V3 X97M/Ecsys 20121210
Agnitum - 20121209