360杀毒的QDisinfect发威了，求鉴定修复结果！

ytysh

360杀毒的最新尝鲜版加入了QDisinfect技术，于是我就把前几天传的多重感染样本拿来试了一下，扫描出病毒处理后exe文件的大小变了，再次扫描360作为未知可疑文件上传！原样本：http://bbs.kafan.cn/thread-910580-1-1.html
Dr.WEB解毒完成完（但大蜘蛛仍然报毒）样本经过360再次解毒后结果如下（360杀毒对解毒后的文件不报毒）：
该文件地址：http://u.115.com/file/f9326bc079

a-squared	5.1.0.2	20110216210205	2011-02-16	-	0.078
AntiVir	8.2.4.170	7.11.3.212	2011-02-24	HEUR/Malware	0.316
Arcavir	2010	201102242048	2011-02-24	-	0.189
Authentium	5.1.1	201102240802	2011-02-24	W32/Downloader.I.gen!Eldorado (Possible)	1.577
AVAST!	4.7.4	110223-1	2011-02-23	-	0.295
AVG	8.5.850	271.1.1/3465	2011-02-24	-	0.330
BitDefender	7.90123.6680696	7.36403	2011-02-24	-	6.473
ClamAV	0.96.5	12768	2011-02-24	-	0.754
Comodo	4.0	7791	2011-02-24	-	0.091
CP Secure	1.3.0.5	2011.02.23	2011-02-23	-	0.652
Dr.Web	5.0.2.3300	2011.02.24	2011-02-24	-	12.474
F-Prot	4.4.4.56	20110224	2011-02-24	W32/Downloader.I.gen!Eldorado (generic, not disinfectable)	1.921
F-Secure	7.02.73807	2011.02.24.04	2011-02-24	-	0.298
GData	21.1874/21.707	20110224	2011-02-24	-	0.108
Ikarus	T3.1.32.15.0	2011.02.24.77801	2011-02-24	-	5.481
Microsoft	1.6502	2011.02.23	2011-02-23	-	0.080
NOD32	3.0.21	5902	2011-02-24	-	0.269
Norman	6.07.03	6.07.00	2011-02-23	-	10.011
nProtect	20110224.01	3204581	2011-02-24	-	0.124
Quick Heal	11.00	2011.02.23	2011-02-23	-	0.094
Sophos	3.16.1	4.62	2011-02-24	-	3.671
Sunbelt	3.9.2474.2	8520	2011-02-23	-	0.107
The Hacker	6.7.0.1	v00137	2011-02-23	-	0.084
VBA32	3.12.14.3	20110223.1131	2011-02-23	-	6.220
ViRobot	20110224	2011.02.24	2011-02-24	-	0.139
VirusBuster	5.2.0.28	13.6.218.0/4551464	2011-02-24	-	0.002
卡巴斯基	5.5.10	2011.02.24	2011-02-24	-	0.178
安博士V3	2011.02.24.00	2011.02.24	2011-02-24	-	0.079
安天	2.0.18	20110217.7833565	2011-02-17	-	0.017
江民杀毒	13.0.900	2011.02.24	2011-02-24	-	0.079
熊猫卫士	9.05.01	2011.02.23	2011-02-23	-	0.082
瑞星	20.0	23.46.02.06	2011-02-23	-	0.085
赛门铁克	1.3.0.24	20110223.002	2011-02-23	-	0.227
趋势科技	9.200-1012	7.856.10	2011-02-24	-	0.141
迈克菲	5400.1158	6266	2011-02-23	-	7.664
金山毒霸	2009.2.5.15	2011.2.24.18	2011-02-24	-	0.082
飞塔	4.2.254	12.928	2011-02-23	-	0.086

另一个未经Dr.WEB解毒直接由360处理的解毒失败，因为解毒后exe文件仍然被360杀毒报毒，直接删除！

该文件地址：http://u.115.com/file/f9b6795995

wjcharles

NIS2011对原样本和Dr.Web解毒后样本都修复，原样本还有系统清毒流程




完整路径: c:\users\administrator\downloads\arswp3.exe\arswp3.exe.重命名
____________________________
____________________________
在电脑上的创建时间:
2011-02-25 ( 00:48:39 )
上次使用时间:
2011-02-25 ( 00:50:02 )
启动项:
否
已启动:
否
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
来源
下载自  URL 不可用

源文件:
arswp3.exe.重命名
____________________________
文件操作
文件: c:\users\administrator\appdata\local\temp\~df61c4.tmp
已删除
文件: c:\Users\administrator\downloads\ArSwp3.exe\arswp3.exe.重命名
已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->SuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->SuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->SuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->SuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->SuperHidden:0
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->SuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:0
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->MinLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->MinLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->MinLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->MinLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->MinLevel:69632
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->MinLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->RecommendedLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->RecommendedLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->RecommendedLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->RecommendedLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->RecommendedLevel:69632
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->RecommendedLevel:69632
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1004:3
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1004:3
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1004:3
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1201:3
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1201:3
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1201:3
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer->NoDriveTypeAutoRun:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer->NoDriveTypeAutoRun:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer->NoDriveTypeAutoRun:0
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer->NoDriveTypeAutoRun:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL->CheckedValue:1
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Shell:Explorer.exe
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->Hidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->Hidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->Hidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->Hidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->Hidden:1
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->Hidden:1
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->HideFileExt:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->HideFileExt:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->HideFileExt:0
已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->HideFileExt:0
已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->HideFileExt:0
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->HideFileExt:0
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1004:3
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1004:3
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1004:3
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-501\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1201:3
已修复
注册表更改: HKEY_USERS\S-1-5-21-3299427050-1592391989-892862250-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1201:3
已修复
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1201:3
已修复
____________________________
文件指纹 - SHA:
0585fb765de7dd5c62ee23289fbb3649f56f169281ec07e4c168fac992be4eaa
____________________________
文件指纹 - MD5:
7f1065a3d00b9d572ad04ac5fbad968b
____________________________

ytysh

回复 2楼 wjcharles 的帖子

能测试一下这次360杀毒解毒完的两个样本吗？

wjcharles

回复 3楼 ytysh 的帖子

360再次解毒的那个115抽风，下不下来；原样本360解毒失败那个直接被删除，没有修复，见下

类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2011-02-25 01:24,高,检测到 arswp3.exe (W32.Chir.B@mm) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\administrator\downloads\arswp360failed\arswp3.exe


再看看这两条记录

2011-02-25 00:55,高,检测到 arswp3.exe (W32.Wapomi.C!inf) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\administrator\downloads\arswpj\arswp3.exe
2011-02-25 00:50,高,检测到 arswp3.exe.重命名 (W32.Chir.B@mm) (检测方: 自动防护),已隔离,已解决 - 不需要操作,c:\users\administrator\downloads\arswp3.exe\arswp3.exe.重命名

原样本报的是(W32.Chir.B@mm)，被蜘蛛解毒后变成了(W32.Wapomi.C!inf)，可以认为蜘蛛只修复了第一层(W32.Chir.B@mm)的感染，而360只能修复第二层(W32.Wapomi.C!inf)感染

zhanghusen

原样本经360修复后



360扫描不报毒

http://www.virustotal.com/file-scan/report.html?id=92d99569b27853efb6e73d64c6f415e20178b27333b6b5ceffb58585e9da383a-1298572752
另外两个抽了

ytysh

回复 5楼 zhanghusen 的帖子

我刚试了，115网盘上的那几个文件可以正常下载的！

烈火狂载

。。。。。。。

留侯

我记得我上次就说过了啊！
大蜘蛛无法修复压缩文件内感染的病毒，原因是压缩授权。因为压缩授权是需要收费的。

大蜘蛛的扫描报告：
[扫描路径] D:\ZL\Downloads\ArSwp360disinfected
>>D:\ZL\Downloads\ArSwp360disinfected\ArSwp3.exe/data001 - 确定
>>D:\ZL\Downloads\ArSwp360disinfected\ArSwp3.exe/data002 - 确定
>>D:\ZL\Downloads\ArSwp360disinfected\ArSwp3.exe/data003 - 确定
>D:\ZL\Downloads\ArSwp360disinfected\ArSwp3.exe - 确定

饭团儿

另一个未经解毒由360处理的解毒失败，这不说明还是不够给力么，杯具！

留侯

另外一个文件的报告：

[扫描路径] D:\ZL\Downloads\ArSwp360failed
>>>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data001/data001 - 确定
>>>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data001/data002 - 确定
>>>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data001/data003 - 确定
>>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data001 - 确定
>>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data002/JavaScript.0 已感染：  JS.Nimda
>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data002 - 发现压缩文件中有被感染的对象
>D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe/data003 已感染：  Trojan.IframeExec
D:\ZL\Downloads\ArSwp360failed\ArSwp3.exe - 发现压缩文件中有被感染的对象 - 已删除