當(dāng)前位置：安全 → 殺毒軟件/病毒 → 正文

XP漏洞攻擊實(shí)戰(zhàn) 四款殺毒軟件誰最安全？

責(zé)任編輯：editor004 |來源：企業(yè)網(wǎng)D1Net 2014-04-04 16:47:51 本文摘自：IT商業(yè)網(wǎng)

馬上就到4月8日了。4月8日，微軟將停止針對Windows XP的更新服務(wù)。XP退休后，并不是XP系統(tǒng)無法再用了，而是指微軟將不再為XP系統(tǒng)曝出的安全漏洞提供更新補(bǔ)丁。這種未被修復(fù)的漏洞一般被稱為0day。

微軟停止對XP更新支持后，用戶將長期處于0day攻擊風(fēng)險(xiǎn)中，面臨最大的安全問題就是漏洞攻擊方面。漏洞本身是一種病毒傳播途徑，在漏洞的輔助下，病毒或黑客可輕易地繞過殺毒軟件，在用戶毫無察覺的情況下，傳播到用戶電腦中，從而破壞或遠(yuǎn)程控制用戶電腦。打個(gè)比方，家里墻上有個(gè)洞，即使門鎖再堅(jiān)固，小偷依然可以繞過門鎖從洞里進(jìn)去偷東西。

近期，國內(nèi)外各大安全公司紛紛推出了專門針對XP系統(tǒng)的安全加固服務(wù)，都宣稱可以增強(qiáng)XP系統(tǒng)的安全性。那它們能有效防范XP系統(tǒng)漏洞攻擊嗎？下面我們選了幾個(gè)歷史上曾爆發(fā)過的影響廣泛的漏洞，在Windows XP系統(tǒng)上，對四款主流殺毒軟件做一個(gè)漏洞防護(hù)方面的效果測試。

IE/Office/PDF三個(gè)代表性漏洞

微軟對XP停止更新后，對XP平臺(tái)上的IE、Office等也會(huì)隨之停止更新支持。

如果Internet Explorer（IE）爆出新漏洞，或者第三方ActiveX存在緩沖區(qū)溢出等漏洞，黑客就可以發(fā)起漏洞利用攻擊。他們往往精心構(gòu)造一個(gè)網(wǎng)頁，內(nèi)含漏洞利用攻擊代碼，然后將此網(wǎng)站URL鏈接發(fā)給網(wǎng)民。當(dāng)網(wǎng)民使用IE訪問該網(wǎng)站時(shí)，病毒程序便會(huì)悄無聲息地下載到本機(jī)并執(zhí)行。

同樣，如果Office軟件存在安全漏洞，那么黑客可精心構(gòu)造包含攻擊代碼的文檔文件，比如一個(gè)Excel表格，或者是一個(gè)Word文檔文件。當(dāng)用戶打開該文檔文件時(shí)，便會(huì)被黑客攻擊，下載木馬病毒，從而控制或破壞用戶電腦。

另外一類比較常見的被黑客利用漏洞攻擊的軟件是PDF閱讀器，比如Adobe Reader。

這次的測試，我們便是選擇這三類最具代表性、最常被黑客所利用的軟件漏洞進(jìn)行測試，測試環(huán)境是Windows XP SP3系統(tǒng)（未打后續(xù)安全補(bǔ)丁）以及IE8、Office 2003、Adobe Reader 9.0。具體軟件版本及漏洞信息如下：

1. IE漏洞:

漏洞編號(hào): CVE-2013-3893

測試軟件: Internet Explorer 8

2. Word漏洞

漏洞編號(hào): CVE-2012-0158

測試軟件: Microsoft Word 2003

3. Adobe Reader漏洞:

漏洞編號(hào): CVE-2009-0027

測試軟件: AdobeReader 9.0 English

漏洞攻擊方式

針對上述三類漏洞，我們分別搜集到三類漏洞測試樣本，樣本的行為是通過成功觸發(fā)漏洞，并利用漏洞下載運(yùn)行病毒。為了更形象地展示漏洞攻擊及病毒運(yùn)行情況，我們將該病毒設(shè)置為一個(gè)“計(jì)算器”程序。

如果該病毒“計(jì)算器”成功運(yùn)行，那么，代表代表當(dāng)前用戶的電腦被黑客攻擊成功，用戶電腦被病毒感染，殺毒軟件防護(hù)失敗；否則，代表殺毒軟件攔截成功。

附測試樣本下載鏈接：http://pan.baidu.com/s/1nt8uPSX

樣本包中，POC目錄為測試POC樣本。Runbin目錄為加密的計(jì)算器程序。

三種POC樣本會(huì)統(tǒng)一從http://www.misssnow.com/runbin.exe下載加密病毒到臨時(shí)目錄并執(zhí)行。測試的時(shí)候，需在本地構(gòu)造http://www.misssnow.com/runbin.exe有效下載鏈接，建議可通過本地host文件配置有效url：www.misssnow.com指向下載服務(wù)器。并將runbin.exe放至下載服務(wù)器即可。