楼主: 冰轮
收起左侧

[已解决] 天原工具箱1.9工具曾存在恶性病毒==问题已经基本解决,没有继续讨论必要了。

   关闭 [复制链接]
边缘vip
发表于 2011-7-6 16:45:25 | 显示全部楼层
已将原帖加权,目前正安排测试该软件。并且已通知该工具作者。请耐心等待!
bluewing009
发表于 2011-7-6 17:04:40 | 显示全部楼层
边缘vip 发表于 2011-7-6 16:45
已将原帖加权,目前正安排测试该软件。并且已通知该工具作者。请耐心等待!

支持管理层核实~

希望只是个乌龙事件
Mr.XCLK
发表于 2011-7-6 17:06:21 | 显示全部楼层
看来,我我给他加信任的行为是错误的
Mr.XCLK
发表于 2011-7-6 17:09:45 | 显示全部楼层
我的杀软多次报毒,但都认为是内核工具而引发的误报
冰轮
 楼主| 发表于 2011-7-6 19:17:01 | 显示全部楼层
边缘vip 发表于 2011-7-6 16:45
已将原帖加权,目前正安排测试该软件。并且已通知该工具作者。请耐心等待!

谢谢版主,那个感染的样本浪费了我好长时间。
冰轮
 楼主| 发表于 2011-7-6 19:19:47 | 显示全部楼层
Mr.XCLK 发表于 2011-7-6 17:09
我的杀软多次报毒,但都认为是内核工具而引发的误报

我也想过这个问题,但是,内核工具怎么可能有感染行为。
哪怕是蓝屏了,我都是可以理解的。内核工具嘛,但是天原不是,我发现的那个感染型病毒,不是内核工具,内核那几个工具我一点意见都没有。
边缘vip
发表于 2011-7-6 20:09:12 | 显示全部楼层
本帖最后由 边缘vip 于 2011-7-6 20:48 编辑

用win7 X86 专业版测试了一下,发现除卡巴2012扫描winsockxpfix报毒之外,该文件在win7系统下不可运行,没有可执行性。已向其他安装xp的版主征求测试,等待结果。

使用的相关工具有:卡巴斯基2012,SysTracer,FSCapture,xuetr

扫描下载下来的安装包,如下图,卡巴报毒并将安装包删除

1.jpg

使用SysTracer,做安装过程及运行部分程序的监控

首先运行红伞扫描器

6.jpg

6-1.jpg

定位文件夹,利用卡巴扫描,

7.jpg

未发现有害文件,
7-1.jpg

打开powtool,扩展名隐藏的那个是正常的,

4.jpg

5.jpg

打开winsockfix,失败
3.jpg

直接到安装文件夹运行,失败

以兼容性模式运行,依旧失败


打开卡巴(之前关闭状态),扫描安装文件夹

8.jpg

发现威胁,
8-1.jpg

路径如图示,也就是那个winsockfix文件
8-2.jpg

管理员模式运行xuetr(独立版本),未发现可疑进程

9.jpg

9-2.jpg

9-3.jpg


附SysTracer监控部分报告截图,如需完整报告可向我索取
http://www.uudisc.com/user/bianyuanvip/file/4145833
http://www.uudisc.com/user/bianyuanvip/file/4145834

bootice
发表于 2011-7-6 20:19:00 | 显示全部楼层
关注,楼主有心了。
明镜星空
发表于 2011-7-6 20:48:45 | 显示全部楼层
本帖最后由 明镜星空 于 2011-7-6 20:52 编辑

我在XP虚拟机下进行测试。

经过检测,运行时金山报毒
QQ截图20110706202110.png
不拦截后让其运行,并没有产生Thunder.exe的进程,
QQ截图20110706204147.png
但是会产生linkinfo.dll,
QQ截图20110706204440.png
运行PowerTool被阻止,
QQ截图20110706204121.png
XueTr正常运行,后又在Temp目录中释放大量假的jpg图片病毒。

故我认为该文件被感染。
Mr.XCLK
发表于 2011-7-6 21:10:55 | 显示全部楼层
冰轮 发表于 2011-7-6 19:19
我也想过这个问题,但是,内核工具怎么可能有感染行为。
哪怕是蓝屏了,我都是可以理解的。内核工具嘛, ...

我用杀毒软件查了毒
MSE只报了winsockxpfix.exe并成功清除。
金山多报了一个盗号木马。
360把百锐金盾给报了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:42 , Processed in 0.094809 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表