讨论Mcafee8.5的查毒能力[已上传病毒样本]

kingsun

我在一部Moto手机里发现了附件内的两个文件，是那种U盘病毒的自动运行病毒文件
但是Mcafee居然没有任何动作，手动给Mcafee查，我看着他检查过这两个文件，居然还是没有任何动作。。。
怀疑ing。。。



附件内是发现的两个病毒文件：
Autorun.inf
OEOuo.exe


其中Autorun.inf文本内容如下：
[autorun]
open=OEOuo.exe
shellexecute=OEOuo.exe
shell\Auto\command=OEOuo.exe
shell=Auto        

！！！谨慎下载！！！

[ 本帖最后由 kingsun 于 2007-10-24 10:30 编辑 ]

kingsun

Mcafee版本

kingsun

Patch 1

卡巴斯基杀掉了

KSWOLF

咖啡杀毒能力确实很一般啊

lifhm

我用MCAFEE查也是这种情况

taihuxian

Begin scan in 'C:\Documents and Settings\Administrator\桌面\病毒样本.rar'
C:\Documents and Settings\Administrator\桌面\病毒样本.rar
  [0] Archive type: RAR
  --> ²¡¶¾Ñù±¾\OEOuo.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [INFO]      A backup was created as 'af560a8f.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!

小邪邪

因为MCAFEE是以防为主的
单单依靠扫描是不能对付所有病毒的，是一种比较落后的检验方式
采用综合均衡的防护才能更安全一些

已验证过，只需用综合性防护（较强）规则即可完美防住此毒：
2007-10-24 9:30:40 已由访问保护规则禁止C:\Program Files\WinRAR\WinRAR.exe
E:\病毒样本\病毒样本\Autorun.inf
防病毒标准保护:禁止远程创建自动运行文件
已阻止的操作: 创建

2007-10-24 9:30:40 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
C:\WINDOWS\system32\IMM32.DLL
用户定义的规则:AD 不允许未知的程序私自启动
已阻止的操作: 执行

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
C:\WINDOWS\system32\URLMON.DLL
用户定义的规则:FD 禁读保护
已阻止的操作: 读取

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
用户定义的规则:RD 禁止未知程序访问注册表(项)
已阻止的操作: 创建

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
D:\Autorun.inf
防病毒标准保护:禁止远程创建自动运行文件
已阻止的操作: 创建

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
E:\Autorun.inf
防病毒标准保护:禁止远程创建自动运行文件
已阻止的操作: 创建

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
F:\Autorun.inf
防病毒标准保护:禁止远程创建自动运行文件
已阻止的操作: 创建

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
\REGISTRY\MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
用户定义的规则:RD 禁止未知程序访问注册表(项)
已阻止的操作: 写入

2007-10-24 9:30:41 已由访问保护规则禁止E:\Downloads\test\病毒样本\病毒样本\OEOuo.exe
C:\WINDOWS\msnlive.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件
已阻止的操作: 创建

以上所有的拦截行动是直接执行此毒后
MCAFEE的监控在瞬间（1秒内）自动完成的
完全无须人工干预，已自动阻止了所有危险动作

[ 本帖最后由 小邪邪 于 2007-10-24 09:38 编辑 ]

apje

邪邪厉害.........

kingsun

文件 OEOuo.exe 接收于 2007.10.24 03:19:16 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止


结果: 23/32 (71.88%)
正在读取服务器信息中...
您的文件所排队列位置: 2.
预计开始时间为 43 和 62 秒之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本 打印结果  
您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置: ).

您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.
Email:  
  

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.10.24.0 2007.10.23 Win-Trojan/Autorun.53760
AntiVir 7.6.0.27 2007.10.23 TR/Delphi.Downloader.Gen
Authentium 4.93.8 2007.10.23 Possibly a new variant of W32/NewMalware-LSU-based!Maximus
Avast 4.7.1074.0 2007.10.23 Win32:Delf-DTM
AVG 7.5.0.488 2007.10.23 Worm/Generic.BGG
BitDefender 7.2 2007.10.24 Trojan.Downloader.Delf.AMD
CAT-QuickHeal 9.00 2007.10.23 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.24 -
DrWeb 4.44.0.09170 2007.10.23 Trojan.StartPage.20005
eSafe 7.0.15.0 2007.10.22 Suspicious File
eTrust-Vet 31.2.5235 2007.10.23 -
Ewido 4.0 2007.10.23 -
FileAdvisor 1 2007.10.24 -
Fortinet 3.11.0.0 2007.10.19 W32/Delf.BM
F-Prot 4.3.2.48 2007.10.23 W32/NewMalware-LSU-based!Maximus
F-Secure 6.70.13030.0 2007.10.24 Virus.Win32.Delf.bm
Ikarus T3.1.1.12 2007.10.24 Worm.Win32.Agent.t
Kaspersky 7.0.0.125 2007.10.24 Virus.Win32.Delf.bm
McAfee 5147 2007.10.23 -
Microsoft 1.2908 2007.10.24 -
NOD32v2 2611 2007.10.23 a variant of Win32/Agent.NAU
Norman 5.80.02 2007.10.23 W32/Malware
Panda 9.0.0.4 2007.10.23 Suspicious file
Prevx1 V2 2007.10.24 -
Rising 19.46.12.00 2007.10.23 Trojan.DL.Mnless.xm
Sophos 4.22.0 2007.10.24 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.10.23 VIPRE.Suspicious
Symantec 10 2007.10.24 Downloader
TheHacker 6.2.9.105 2007.10.23 -
VBA32 3.12.2.4 2007.10.22 Virus.Win32.Delf.bm
VirusBuster 4.3.26:9 2007.10.23 -
Webwasher-Gateway 6.6.1 2007.10.23 Trojan.Delphi.Downloader.Gen
附加信息
File size: 53760 bytes
MD5: 2f46fd07e7715ac3974e4ff1df129f75
SHA1: 1cb6260fc5781ba3b3b60934578b76311ba199e4
packers: PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
norman sandbox: [ General information ]<br />    * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<br />    * File length:        53760 bytes.<br /><br /> [ Changes to filesystem ]<br />    * Creates file C:\WINDOWS\msnlive.dll.<br />    * Creates file C:\WINDOWS\sample.exe.<br />    * Creates file C:\WINDOWS\systemst.dll.<br /><br /> [ Changes to registry ]<br />    * Sets value \"NoDriveTypeAutoRun\"=\"_\" in key \"HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\".<br />    * Modifies value \"UserInit\"=\"C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\sample.exe\" in key \"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\".<br /><br /> [ Network services ]<br />    * Downloads file from http://www.foxking.cn/ao/a802.txt as c:\WINDOWS\systemst.dll.<br />    * Connects to \"www.foxking.cn\" on port 80 (TCP).<br />    * Opens URL: www.foxking.cn/ao/a802.txt.<br /><br /> [ Process/window information ]<br />    * Attemps to open c: NULL.<br />    * Creates a mutex sfaee5353g#2007.<br />    * Will automatically restart after boot (I'll be back...).<br /><br />
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

[ 本帖最后由 kingsun 于 2007-10-24 10:19 编辑 ]