让nod32漠视的木马

ruanjinan

让nod32漠视的木马
360安全卫士先报马了，nod32扫一下system32目录，没有发现360报的木马，倒是发现“taskmgr.exe”可疑木马变种。进入老毛桃PE下，压缩样本，测md5。
c6f4b9fa369323dbda0f30459ede2383   a.exe
e400a151563c2c1ea5ddec7c6bb8db6c   taskmgr.exe
————————————————————————————————————————————
http://virscan.org/
VirSCAN.org(国内)可疑文件在线扫描
文件信息
文件名称 :   a.rar
文件大小 :   12813 byte
文件类型 :   RAR archive data, v1d, os
MD5 :   ac8dea43a3dd5106501f44c477e50253
SHA1 :   c8b28b1db6297bbce1276c64c466da4892abd1a4
扫描结果
扫描结果 :   64%的杀软(23/36)报告发现病毒
时间 :   2008/01/08 07:02:54 (CST)
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
文件信息
文件名称 :   taskmgr.rar
文件大小 :   96783 byte
文件类型 :   RAR archive data, v1d, os
MD5 :   b5f597c6828871f6b72204d1a6103848
SHA1 :   798d44f588a85cfb878a1d5117ac5d55950caf97
扫描结果
扫描结果 :   28%的杀软(10/36)报告发现病毒
时间 :   2008/01/08 07:06:42 (CST)
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
我的结论：a.exe是木马无疑，taskmgr.exe是增强型的任务管理器属于杀软误报。
附上可疑病毒样本和截图
论坛的附件限制小于 100 kb，应该加大点，老是超过100kb，分几次传了

Graybird

Starting the file scan:

Begin scan in 'E:\a.rar'
E:\a.rar
  [0] Archive type: RAR
  --> a.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Small.hmk.2
      [INFO]      The file was deleted!

ruanjinan

文件名称 :   taskmgr.rar
文件大小 :   96783 byte
文件类型 :   RAR archive data, v1d, os
MD5 :   b5f597c6828871f6b72204d1a6103848
SHA1 :   798d44f588a85cfb878a1d5117ac5d55950caf97
扫描结果
扫描结果 :   28%的杀软(10/36)报告发现病毒
时间 :   2008/01/08 07:06:42 (CST)

ruanjinan

附上截图

Graybird

The file 'taskmgr.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection is removed from our virus definition file (VDF) with the version: 6.38.1.32.

误报~

ruanjinan

已经提交ESET® NOD32 中国官方网站了，相信用不了多久就可查杀到了！

傻猪猪米走鸡

谢谢上报……

dianziliqi

怎么刚说免杀，下面就杀了、、、

28654621

\a.rar>>a.exe        TrojanDownloader.Adload.lp.oims        木马        还未处理


\taskmgr.rar>>taskmgr.exe        Backdoor.Yjyrbw.lucv        后门        还未处理

啊弥陀佛

微点砍掉