在软件下载区里下的一个东西.

显示全部楼层 · 发表于 2011-11-9 23:01:54

在软件下载区里下到的一个虚拟光驱, http://bbs.kafan.cn/thread-1122845-1-1.html

用多引擎扫了一下.

AhnLab-V3 2011.11.08.01 2011.11.08 Win-Trojan/Xema.variant
AntiVir 7.11.17.99 2011.11.09 -
Antiy-AVL 2.0.3.7 2011.11.09 -
Avast 6.0.1289.0 2011.11.09 -
AVG 10.0.0.1190 2011.11.09 Citem_c.CV
BitDefender 7.2 2011.11.09 -
CAT-QuickHeal 11.00 2011.11.09 Trojan.Agent.ATV
ClamAV 0.97.3.0 2011.11.09 -
Commtouch 5.3.2.6 2011.11.09 -
Comodo 10722 2011.11.09 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2011.11.09 -
Emsisoft 5.1.0.11 2011.11.09 -
eSafe 7.0.17.0 2011.11.09 -
eTrust-Vet 36.1.8665 2011.11.09 -
F-Prot 4.6.5.141 2011.11.09 -
F-Secure 9.0.16440.0 2011.11.09 -
Fortinet 4.3.370.0 2011.11.09 Malware_fam.A
GData 22 2011.11.09 -
Ikarus T3.1.1.109.0 2011.11.09 -
Jiangmin 13.0.900 2011.11.09 -
K7AntiVirus 9.117.5413 2011.11.08 -
Kaspersky 9.0.0.837 2011.11.09 -
McAfee 5.400.0.1158 2011.11.09 Generic.dx!hst
McAfee-GW-Edition 2010.1D 2011.11.09 Generic.dx!fgb
Microsoft 1.7801 2011.11.09 -
NOD32 6615 2011.11.09 probably a variant of Win32/Agent.IPGBJNC
Norman 6.07.13 2011.11.08 -
nProtect 2011-11-09.01 2011.11.09 Trojan.Peed.Gen
Panda 10.0.3.5 2011.11.08 Trj/CI.A
PCTools 8.0.0.5 2011.11.09 -
Prevx 3.0 2011.11.09 -
Rising 23.83.01.01 2011.11.08 Trojan.Win32.Generic.122FF36B
Sophos 4.71.0 2011.11.09 Mal/EncPk-MK
SUPERAntiSpyware 4.40.0.1006 2011.11.09 -
Symantec 20111.2.0.82 2011.11.09 Trojan Horse
TheHacker 6.7.0.1.339 2011.11.08 -
TrendMicro 9.500.0.1008 2011.11.09 TROJ_GEN.R44C3H4
TrendMicro-HouseCall 9.500.0.1008 2011.11.09 TROJ_GEN.R44C3H4
VBA32 3.12.16.4 2011.11.09 -
VIPRE 11002 2011.11.09 Trojan.Peed.Gen
ViRobot 2011.11.9.4764 2011.11.09 -
VirusBuster 14.1.53.1 2011.11.08 -

显示全部楼层 · 发表于 2011-11-9 23:17:50

暂时没有发现高风险行为。
虚拟机中无镜像文件，就不进一步测试了

显示全部楼层 · 发表于 2011-11-10 13:53:19

基本上都是启发式分析作出的判断啊！
大蜘蛛clean，文件加了壳：
kDisk32\kDisk.sys - packed by FLY-CODE
kDisk32\kDisk.exe - packed by FLY-CODE
kDisk32\kDisk.sys - packed by FLY-CODE
kDisk32\kDisk.exe - packed by FLY-CODE

显示全部楼层 · 发表于 2011-11-10 14:02:04

显示全部楼层 · 发表于 2011-11-10 15:58:35

本帖最后由 zhousulin5 于 2011-11-10 16:05 编辑

2011-11-10 15:46:58 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: f:\实机规则测试\kdisk32\kdisk.sys
规则: [应用程序]c:\windows\system32\*.exe

2011-11-10 15:48:38 底层磁盘写操作允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
目标: \Device\KenVDisk03Z
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:48:38 底层磁盘写操作允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
目标: \Device\KenVDisk03Z
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:48:38 底层磁盘写操作允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:49:12 底层磁盘写操作允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
目标: \Device\KenVDisk03Z
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:49:13 底层磁盘写操作允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
目标: \Device\KenVDisk03Z
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:49:13 底层磁盘写操作允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:49:16 停止驱动程序或服务允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
目标: CHKen Virtual Disk 0.4
文件路径: \??\F:\实机规则测试\kDisk32\kDisk.sys
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

2011-11-10 15:49:16 删除驱动程序或服务允许
进程: f:\实机规则测试\kdisk32\kdisk.exe
目标: CHKen Virtual Disk 0.4
文件路径: \??\F:\实机规则测试\kDisk32\kDisk.sys
规则: [应用程序]f:\实机规则测试\kdisk32\kdisk.exe

底层访问磁盘，但它访问的是它要用到的；访问服务管理器，但这也是它要完成任务必须的；services加载了驱动，但要完成虚拟光驱的任务，这也是必须的。它的这些看起来很危险的活动都与要提供的功能有关。退出程序后，服务和驱动均无残留，自启动项无陌生项目。
综上，我个人认为这个小程序无明显风险。

显示全部楼层 · 发表于 2011-11-10 22:25:20

本软件没有病毒，因为此软件加了自己制作的Kenpack(隐藏输入表，通过解密输入表然后调用LoadLibrary 和GetProcAddress来加载)，因为此举是现在太多的病毒的行为。
所以大多杀毒软件就把它定义为病毒的行为了，如果把壳拿掉杀毒软件就不杀了，压缩壳很好搞定，此软件为MASM32所写。
具体的看附图。

[病毒样本] 在软件下载区里下的一个东西.

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块