想不明白为啥CloseMonitor.exe居然是病毒？

danielhugo

CloseMonitor.exe是一个网上流传甚广的一键关屏小程序，小众软件曾作推介，但是一直以来都被安全软件报毒。


今天出于好奇，我用OllyDBG打开看了一下，结果如下：

CPU Disasm
地址        十六进制 转存           命令                                       备注
00401000  /.  68 FF000000   PUSH 0FF                                 ; /Time = 255. ms
00401005  |.  E8 30000000   CALL <JMP.&kernel32.Sleep>               ; \KERNEL32.Sleep
0040100A  |.  6A 02         PUSH 2                                   ; /lParam = X = 2, Y = 0
0040100C  |.  68 70F10000   PUSH 0F170                               ; |wParam = SC_MONITORPOWER
00401011  |.  68 12010000   PUSH 112                                 ; |Msg = WM_SYSCOMMAND
00401016  |.  68 FFFF0000   PUSH 0FFFF                               ; |hWnd = 0000FFFF
0040101B  |.  E8 0E000000   CALL <JMP.&user32.SendMessageA>          ; \USER32.SendMessageA
00401020  |.  6A 00         PUSH 0                                   ; /ExitCode = 0
00401022  |.  E8 0D000000   CALL <JMP.&kernel32.ExitProcess>         ; \KERNEL32.ExitProcess
00401027  |.  CC            INT3
00401028  \.- FF25 10204000 JMP DWORD PTR DS:[<&user32.wsprintfA>]
0040102E   $- FF25 0C204000 JMP DWORD PTR DS:[<&user32.SendMessageA>
00401034   $- FF25 04204000 JMP DWORD PTR DS:[<&kernel32.ExitProcess
0040103A   $- FF25 00204000 JMP DWORD PTR DS:[<&kernel32.Sleep>]




用毛豆在线沙盘分析，结果如下：
http://camas.comodo.com/cgi-bin/ ... 24404dd48b9afeae369

File Info
Name Value
Size 1536
MD5 9d9e54cfc7876538b4a49cc9c1febfa4
SHA1 0a319ee8a2079ff61d8fc6d1df0625588d1deed3
SHA256 e451bac13ae4e3597dda6c3b1ae2b6f5372fcdcac8ce024404dd48b9afeae369
Process Exited

• Keys Created
• Keys Changed
• Keys Deleted
• Values Created
• Values Changed
• Values Deleted
• Directories Created
• Directories Changed
• Directories Deleted
• Files Created
• Files Changed
• Files Deleted
• Directories Hidden
• Files Hidden
• Drivers Loaded
• Drivers Unloaded
• Processes Created
• Processes Terminated
• Threads Created
PId Process Name TId Start Start Mem Win32 Start Win32 Start Mem
0x348 svchost.exe 0x784 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE

• Modules Loaded
• Windows Api Calls
• DNS Queries
• HTTP Queries
• Verdict
Auto Analysis Verdict
Undetected




上传至VirScan群殴，结果如下：

http://r.virscan.org/report/f63e9e492d2333844f17b80e251a7b0e.html

文件名称 :           ***file name has been blocked*** （本站不提供任何文件的下载服务）
文件大小 :           1536 byte
文件类型 :           PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :           9d9e54cfc7876538b4a49cc9c1febfa4
SHA1 :           0a319ee8a2079ff61d8fc6d1df0625588d1deed3

软件名称 ↓         引擎版本         病毒库版本         病毒库时间         扫描结果         时间
a-squared         5.1.0.4         20121123160239         2012-11-23        
-
        9.850
AntiVir         8.2.10.202         7.11.50.58         2012-11-16        
-
        0.248
Arcavir         2011         201211201436         2012-11-20        
Trojan.Refroso.Bpls
        4.598
Authentium         5.1.1         201209090949         2012-09-09        
-
        2.355
AVAST!         4.7.4         121122-1         2012-11-22        
-
        0.281
AVG         12.0.1794         2630/5412         2012-11-22        
Downloader.Tibs.9.Z
        0.362
BitDefender         7.90123.8012426         7.44102         2012-11-23        
-
        4.712
ClamAV         0.97.5         15618         2012-11-23        
-
        0.176
Comodo         5.1         14294         2012-11-23        
TrojWare.Win32.Agent.~v001
        2.145
CP Secure         1.3.0.5         2012.11.23         2012-11-23        
-
        0.241
Dr.Web         7.0.4.9250         2012.11.23         2012-11-23        
-
        15.467
F-Prot         4.6.2.117         20121122         2012-11-22        
-
        0.852
F-Secure         7.02.73807         2012.11.22.07         2012-11-22        
-
        0.247
GData         22.6795         20121123         2012-11-23        
-
        6.292
Ikarus         T3.1.32.20.0         2012.11.23.82821         2012-11-23        
-
        6.885
Microsoft         1.9002         2012.11.22         2012-11-22        
-
        5.555
NOD32         3.0.21         7722         2012-11-22        
-
        0.202
Norman         6.8.3         201208311030         2012-08-31        
-
        0.000
nProtect         20121122.01         12672333         2012-11-22        
Trojan/W32.Refroso_Packed.1536
        1.632
Quick Heal         11.00         2012.11.22         2012-11-22        
Trojan.Refroso.bpls
        2.038
Sophos         3.35.1         4.81         2012-11-23        
-
        5.857
Sunbelt         3.9.2552.2         14110         2012-11-22        
-
        1.169
The Hacker         6.8.0.0         v00136         2012-11-22        
Trojan/Refroso.bpls
        0.667
VBA32         3.12.18.3         20121122.0514         2012-11-22        
Trojan.Packed.596
        4.081
ViRobot         20121122         2012.11.22         2012-11-22        
-
        0.484
VirusBuster         5.5.2.13         15.0.264.0/10323855         2012-11-22        
Trojan.Refroso!DKk67xBCOLQ
        0.191
卡巴斯基         5.5.10         2012.10.16         2012-10-16        
-
        0.301
安博士V3         2012.11.23.00         2012.11.23         2012-11-23        
-
        2.660
安天         2.0.18         2.0.18.         0002-18-00        
Hoax/Win32.BadJoke.BlackScreen.c[:not_virus]
        0.368
江民杀毒         13.0.900         2012.11.23         2012-11-23        
-
        1.302
熊猫卫士         9.05.01         2012.11.21         2012-11-21        
-
        0.914
瑞星         20.0         24.37.02.04         2012-11-21        
-
        2.884
赛门铁克         1.3.0.24         20121122.003         2012-11-22        
-
        0.404
趋势科技         9.500-1005         9.544.01         2012-11-22        
-
        0.196
迈克菲         5400.1158         6904         2012-11-22        
-
        9.690
金山毒霸         2009.2.5.15         2012.11.23.9         2012-11-23        
-
        0.879
飞塔         4.3.392         16.549         2012-11-23        
-
        0.165




给毛豆工程师报了False Positive，回复如下：


False Positive submission: CloseMonitor.exe (SHA1:0a319ee8a2079ff61d8fc6d1df0625588d1deed3)

Comodo Antivirus Lab info@avlab.comodo.com

Hello,

This is to inform you that the file you have submitted to us is not a False Positive. If you intend to further  use this application you can add it to your "Exclusions" list.

Best regards
Florin Gogoseanu


注意以上材料的SHA1都是一样的，我提交的是同一个文件。


求本区众高手解答：这个程序为什么是病毒？有哪些流氓行为？能不能够限制它的流氓行为而不影响正常使用呢？

附件为样本：

加壳了没有

danielhugo

貌似没有，或者是未知壳……脱壳我不太懂

x-天秤座

这个，这个，我晕哦，楼主你先把杀毒部分排除，然后你用毛豆运行一下就知道了。
它：修改主页、修改搜索键值......一堆流氓行为，日志里面有。
当然毛豆是可以防止它的流氓行为的哈，对其实行规则限制就行了。

x-天秤座

我测试了一下，不是很喜欢它的功能，每次都修改IE相关---当然被防止了哈。它那些流氓功能是程学内置的，所以很多安全软件报毒，纯属正常。

hx1997

？？没看到啥危险代码...

1. /* This file has been generated by the Hex-Rays decompiler.
   
2.    Copyright (c) 2007-2011 Hex-Rays <info@hex-rays.com>
   
3. 
   
4.    Detected compiler: Visual C++
   
5. */
   
6. 
   
7. #include <windows.h>
   
8. #include <defs.h>
   
9. 
   
10. 
    
11. //-------------------------------------------------------------------------
    
12. // Data declarations
    
13. 
    
14. 
    
15. //-------------------------------------------------------------------------
    
16. // Function declarations
    
17. 
    
18. void __cdecl start();
    
19. // LRESULT __stdcall SendMessageA(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam);
    
20. // void __stdcall ExitProcess(UINT uExitCode);
    
21. // void __stdcall Sleep(DWORD dwMilliseconds);
    
22. 
    
23. 
    
24. //----- (00401000) --------------------------------------------------------
    
25. void __cdecl start()
    
26. {
    
27.   Sleep(255u);
    
28.   SendMessageA(HWND_BROADCAST, WM_SYSCOMMAND, SC_MONITORPOWER, 2);
    
29.   ExitProcess(0);
    
30. }
    
31. 
    
32. // ALL OK, 1 function(s) have been successfully decompiled
    

复制代码

danielhugo

x-天秤座 发表于 2012-11-26 18:56
我测试了一下，不是很喜欢它的功能，每次都修改IE相关---当然被防止了哈。它那些流氓功能是程学内置的，所以 ...

有修改IE相关项吗？

x-天秤座

danielhugo 发表于 2012-11-26 20:46
有修改IE相关项吗？

是的，它修改IE的主页和搜索。

剑步如飞

Bitdefender windows 8 Security clean

wehiue

为什么会报不知道，我这有不报的
这个要报毒就可以肯定是100%误报了~~