查看: 13970|回复: 100
收起左侧

[已解决] 天原工具箱1.9工具曾存在恶性病毒==问题已经基本解决,没有继续讨论必要了。

   关闭 [复制链接]
冰轮
发表于 2011-7-6 12:28:21 | 显示全部楼层 |阅读模式
本帖最后由 冰轮 于 2011-7-25 02:35 编辑

天原工具箱中1.9版本中存在恶性感染型病毒,不是误报。有图

如果 大家测试了我的附件以及天原工具箱现有的原件确实是被染毒的,请到如下地址举报下载链接,
http://u.115.com/file/dn1acd3x
上面是天原作者提供的连接,请确认通过的 举报该链接的资源,115网盘会对举报过多的资源进行封禁。


以下过程为本人在虚拟机中测试所得结果:
b.jpg
感染效果,exe程序增大38KB,可以从MD5中发现不同。
gr.jpg
winsockxpfix.jpg
并且,感染后,杀毒软件报告病毒与第一张图相同,可以确定是感染型病毒。
此病毒在winsockxpfix.exe运行一段时间后才执行。
这是感染后,xuetr显示的启动项增加项,已知虚拟机中我没有安装迅雷
jjkkk.jpg
此外,此病毒对XUETR,powertools,j-task的执行具有干扰性,并可以感染。截图如下
这是正常的j-task执行情况
jtask.jpg
这是运行上述程序后j-task执行情况
jtv1.jpg
可以看到j-task执行加载驱动被干扰,并且,多了一个文件 jiagexzs 大小为41KB
如果J-task此时运行在其他磁盘,有可能直接提示被感染而无法运行。
这是powertool正常执行情况
pt.jpg
这是干扰的情况
ptv.jpg
这是正常的xuetr工作文件夹情况
xuetr.jpg
干扰后,xuetr仍然可以正常执行,但是,xuetr工作时,并不会将驱动释放到当前目录
xuetrv-.jpg
这是病毒要对文件进行感染,但是,由于我是只读分配数据空间,所以出现如下提示
上述感染成功的图片,是我手动将它要感染的程序复制到具有完全权限的目录才得以成功
as.jpg
dddd.jpg
gr.jpg
感染成功后,图标不变,但是文件大小和MD5发生变化。


这是另一个木马,是释放到临时文件夹内的,可以确定不是杀毒软件误报,而且明显没有工具箱中要求的内容。
w.jpg
在临时文件夹中生成多个JPG,检测结果,jpg不过是改了扩展名,仍然可以被报毒。
这个木马可能是工具箱中其他程序释放出来的,与上面的不是一路。此外,在图中还可以看到木马释放了驱动
这是进程中的木马程序
可以看到还执行了系统的rundll32程序
xx.jpg
cc.jpg

hasher扫描情况,可以看到IE下载目录也存在病毒体
cvv.jpg


本人保留所有相关证据,此次事件不是程序bug,而是作品被捆绑了病毒,性质不同,希望引起重视。
请作者于24小时内予以处理,否则将视为作者故意传播计算机系统病毒,向网监部门进行举报。
如果有管理员看到此贴,请尽快处理此事。


附件为 天原工具箱中的感染型程序,密码为arswp
请谨慎测试
WinsockxpFix.part1.rar (341.8 KB, 下载次数: 315)

评分

参与人数 2魅力 +1 人气 +1 收起 理由
dl123100 + 1
边缘vip + 1 感谢忍心反馈,版区有你更精彩!

查看全部评分

FreeEquFraT
发表于 2011-7-6 12:37:14 | 显示全部楼层
关注此事。。。。。。。
q721tcl521
发表于 2011-7-6 12:52:30 | 显示全部楼层
关注
xzhlksh
发表于 2011-7-6 13:01:21 | 显示全部楼层
有图有真相,关注后续
冰轮
 楼主| 发表于 2011-7-6 13:11:09 | 显示全部楼层
请测试结束的筒子们尽快通知管理员,尽快解决此事。
zhou0197
发表于 2011-7-6 13:20:59 | 显示全部楼层
本帖最后由 zhou0197 于 2011-7-6 13:35 编辑

确认存在感染!

虚拟机+SD运行LZ提供的样本,开始的加驱,不正常,接着创建linkinfo.dll,很快出现了修改explorer内存的行为,然后,或许因为SD的原因,虚拟机突然断电关机…………这个不是好兆头。

PS:修复之后的正常文件运行均没有出现加文件,加驱和修改内存的行为!!!也没有关机……


大蜘蛛修复测试: QQ截图20110706131234.png

可见确实存在感染,并且可以修复。


修复结果: QQ截图20110706131533.png


修复后文件比感染文件减小约40KB……


问题比较严重,可能作者制作时使用的文件不小心被感染,建议先联系版主,暂停下载!
a8856225a
发表于 2011-7-6 13:22:57 | 显示全部楼层
强烈关注啊。哈哈哈
疯狂的小鬼
发表于 2011-7-6 13:28:24 | 显示全部楼层
关注。。尽快解决。。
hx1997
发表于 2011-7-6 13:28:41 | 显示全部楼层
那文件本身非病毒,是被感染了
245867683
发表于 2011-7-6 13:29:33 | 显示全部楼层
本帖最后由 245867683 于 2011-7-6 13:39 编辑

360网盾怎么报安全呢?



QQ截图20110706132809.jpg


QQ截图201107061330445.jpg



2.jpg



应该是被感染的病毒,文件本身是无毒的



您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:26 , Processed in 0.152032 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表