过所有杀软的疑似流氓软件!

fish

x::\Recycler\usbplice.exe
自称U盘巡警,但却无声无息自动安装,并入侵U盘,所特别的是它藏身在系统自带的回收站里,不易察觉,目前主要发现经常自动运行,过所有杀软!

fish

这个貌似是装成杀软的病毒文件!起码也是流氓软件!

fish

VirSCAN.org Scanned Report :
Scanner results: 8%的杀软(3/36)报告发现病毒
File Name      : USBplice.exe
File Size      : 122880 byte
File Type      : MS-DOS executable (EXE), OS/2 or MS Windows
MD5            : dcb3aa1b3081fa35bc73f6bd538fc295
SHA1           : f29fce4a6ccdaeb5ad722cc44f0af138c772b100
Online report  : http://virscan.org/report/793804513e8fde2577db2dba9b7b65b5.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2007.12.19        2007-12-19  6.33   -
安博士V3       2007.12.20.01   2007.12.20        2007-12-20  3.32   -
AntiVir        7.6.0.46        7.0.1.129         2007-12-20  24.64  -
Arcavir        1.0.4           200712191753      2007-12-19  15.89  -
AVAST          1.0.8           071218-0          2007-12-18  13.29  -
AVG            7.5.49.442      269.17.5/1190     2007-12-19  23.93  -
BitDefender    7.60825.961479  7.16405           2007-12-20  0.00   -
CA (VET)       9.0.0.143       31.3.5390         2007-12-20  12.29  -
ClamAV         0.91.2          5186              2007-12-20  2.06   -
Comodo         2.11            2.0.0.379         2007-12-20  3.72   -
CP Secure      1.1.0.655       2007.12.20        2007-12-20  54.95  -
Dr.WEB         4.44.0.9170     2007.12.20        2007-12-20  33.39  -
ewido          4.0.0.2         2007.12.20        2007-12-20  4.77   -
F-PROT         4.4.1.52        20071219          2007-12-19  13.59  -
F-SECURE       5.51.6100       2007.12.19.02     2007-12-19  33.19  -
飞塔           2.81-3.11       8.449             2007-12-03  5.62   -
ViRobot        20071220        2007.12.20        2007-12-20  2.99   -
IKARUS         T3.1.01.15      2007.12.20.70022  2007-12-20  3.01   -
江民杀毒       10.00.650       2007.12.19        2007-12-19  3.81   -
卡巴斯基       5.5.10          2007.12.20        2007-12-20  41.70  -
金山毒霸       2007.6.20.249   2007.12.20        2007-12-20  2.57   -
迈克菲         5.2.00          5189              2007-12-19  9.63   New Malware.d
MKS_VIR        2.01            2007.12.19        2007-12-19  21.90  -
NOD32          2.70.10         2736              2007-12-20  58.04  -
NORMAN         5.91.08         5.90              2007-12-18  44.95  -
熊猫卫士       9.04.03.0001    2007.12.19        2007-12-19  6.16   Suspicious file
趋势           8.500-1001      4.900.06          2007-12-19  0.08   -
Prevx          V2              20071221          2007-12-21  17.36  TROJAN.DOWNLOADER.GEN
QuickHeal      9.00            2007.12.20        2007-12-20  5.01   -
瑞星           19.0            20.23.32.00       2007-12-20  6.10   -
SOPHOS         2.49.1          4.21              2007-12-20  0.00   -
赛门铁克       1.3.0.24        20071219.007      2007-12-19  0.27   -
nProtect       2007-12-20.00   1095818           2007-12-20  8.55   -
The Hacker     6.2.9           v00165            2007-12-19  3.14   -
VBA32          3.12.2.5        20071219.2104     2007-12-19  13.72  -
VirusBuster    4.3.19:9        9.117.7/11.0      2007-12-19  13.52  -

fish

文件 Recycler.zip 接收于 2007.12.20 19:18:07 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止


结果: 1/32 (3.13%)
正在读取服务器信息中...
您的文件所排队列位置: 7.
预计开始时间为 57 和 81 秒之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本 打印结果  
您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置: ).

您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.
Email:  
  

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 -
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5190 2007.12.20 New Malware.d
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 -
附加信息
File size: 23302 bytes
MD5: 29d62a619e4a469ae70e1cb0df2c3305
SHA1: 1ad44e2f0009deb26c4b973cbb98c618713eb5f1
PEiD: -

solcroft

无聊
不是病毒的东西就别发在本区，谢谢合作

fish

我相信是! 我很多同学的电脑中了这个东西!

fish

原帖由 solcroft 于 2007-12-21 02:30 发表
无聊
不是病毒的东西就别发在本区，谢谢合作

我最奇怪的是它并没创建AUTORUN却能自由复制到U盘~而且有杀软会不动声息不断在电脑间传播,而且杀软没有任何选项的吗? 感觉它的行为和一个月前经常见的"瑞星黑白名单保护"那种利用漏洞经常弹出来病毒很像, 而且MCAFEE误报一向很少(毕竟是企业级杀软),连它都报"McAfee 5190 2007.12.20 New Malware.d "(恶意软件) 希望高手进一步分析!

[ 本帖最后由 fish 于 2007-12-21 02:52 编辑 ]

绅博周幸

扫描报告
2007年12月20日 14:39:42 - 14:39:43
计算机名称: XING-PC
扫描类型: 扫描指定目标
目标: C:\Users\Xing\Desktop\Downloads\Recycler.zip


--------------------------------------------------------------------------------

结果
没发现恶意软件




--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 2
未扫描: 0
结果:
病毒: 0
间谍软件: 0
可疑对象: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 0
已隔离: 0
失败: 0
引导区:
已扫描: 0
受感染: 0
可疑对象: 0
已杀毒: 0


--------------------------------------------------------------------------------

选项
病毒定义版本:
病毒: 2007-12-20_05
间谍软件: 2007-12-20_05
扫描引擎:
F-Secure AVP: 7.00.171, 2007-12-20
F-Secure Libra: 2.04.01, 2007-12-20
F-Secure Orion: 1.02.37, 2007-12-20
F-Secure Draco: 1.00.35, 2007-11-28
扫描选项:
扫描指定类型的文件: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ SWF ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
扫描压缩包内部
操作:
病毒: 删除受感染文件
间谍软件: 删除受感染文件

--------------------------------------------------------------------------------

版权 © 1998-2007 产品支持 | 发送病毒样本到 F-Secure
对于 F-Secure 网页上所链接的由第三方创建和发布的材料， F-Secure 不承担任何责任。 除非已通过电子邮件或 F-Secure CGI 电子邮件向任一台服务器提交材料以清楚说明情况， 您同意 通过 F-Secure 网页或硬拷贝发布已有的材料。 单击带下划线的链接，可访问 F-Secure 公共网站。此时， 系统会在专用访问统计信息中用域名记录您的访问。 此信息不会提供给任何第三方。 您同意不针对所提交的材料向我们提出诉讼。 除非您已明确说明，否则应提交材料以保证 F-Secure 针对可能在 F-Secure 产品/出版物中采用的概念， 不承担任何责任。

残缺的唯美

mcafee报的是启发

fish

是啊,报新恶意软件(启发)啊!不过如果你运行过就发现它确实是个流氓软件!而且是个伪装成杀软的流氓软件!