这个算病毒吗，avast抓的，多引擎好多不报。

F-Secure

Antivirus Version Last Update Result
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 -
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.02.10 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 -
ClamAV 0.92 2008.02.11 -
DrWeb 4.44.0.09170 2008.02.10 -
eSafe 7.0.15.0 2008.01.28 Win32.Hackdoor.g
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.11 -
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.11 -
Ikarus T3.1.1.20 2008.02.11 Backdoor.Win32.Hackdoor.g
Kaspersky 7.0.0.125 2008.02.11 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.10 -
NOD32v2 2862 2008.02.10 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.11 -
TheHacker 6.2.9.216 2008.02.11 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 -

IllusionWing

应该不是病毒。从IDA分析看它创建了一个驱动对象又释放..



; Attributes: bp-based frame

; int __stdcall DriverEntry(int,PUNICODE_STRING DestinationString)
public __stdcall DriverEntry(x, x)
__stdcall DriverEntry(x, x) proc near

arg_0= dword ptr  8
DestinationString= dword ptr  0Ch

push    ebp
mov     ebp, esp
push    ebx
push    esi
mov     esi, [ebp+arg_0]
push    [ebp+DestinationString] ; DestinationString
mov     dword ptr [esi+38h], offset FirelmDispatchClose(x,x)
mov     dword ptr [esi+40h], offset FirelmDispatchClose(x,x)
mov     dword ptr [esi+74h], offset FirelmDispatchInternalIOCTL(x,x)
mov     dword ptr [esi+34h], offset FirelmDriverUnload(x)
call    GetServiceNameFromRegistryPath(x)
mov     ebx, eax
test    ebx, ebx
jz      short loc_10849

push    offset _FirelmDeviceObject ; DeviceObject
push    0               ; Exclusive
push    0               ; DeviceCharacteristics
push    22h             ; DeviceType
push    ebx             ; DeviceName
push    2458h           ; DeviceExtensionSize
push    esi             ; DriverObject
call    ds:IoCreateDevice(x,x,x,x,x,x,x)
mov     [ebp+arg_0], eax
mov     eax, _FirelmDeviceObject
push    dword ptr [eax+28h] ; SpinLock
call    InitializeIDScontext(x)
test    eax, eax
jz      short loc_10842

push    _FirelmDeviceObject ; DeviceObject
mov     [ebp+arg_0], 0C000009Ah
call    ds:IoDeleteDevice(x)
and     _FirelmDeviceObject, 0


loc_10842:              ; P
push    ebx
call    ds:ExFreePool(x)


loc_10849:
or      dword ptr [esi+8], 2
mov     eax, [ebp+arg_0]
pop     esi
pop     ebx
pop     ebp
retn    8
__stdcall DriverEntry(x, x) endp

Graybird

The file 'firelm01.sys' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection is removed from our virus definition file (VDF) with the version: 6.39.1.113.

F-Secure

系统里抓的，可以删了吗。

IllusionWing

可能删了会影响系统功能

F-Secure

金山清理专家也说是木马，金山误报蛮少见的，不知道别人系统有没有这个文件 算了，加入白名单算了，反正不痛不痒的，相信多引擎。

[ 本帖最后由 F-Secure 于 2008-2-11 16:20 编辑 ]

wangjay1980

没记错的话是麦咖啡的驱动

[ 本帖最后由 wangjay1980 于 2008-2-11 16:53 编辑 ]

ly5360

顶~不知道是啥东西。NOD32不认识。。SYS需要和其他东西一起联合作案才生效。。如6楼所说。。不痛不痒的。。

qigang

不是病毒。

leonfg

Hello,

Thank you for the sample that you sent to us.

The file you submitted is clean. It is not malicious.

Should you have further concerns, please do not hesitate to e-mail us again.

Have a nice day!

--
F-Secure Security Labs              http://www.f-secure.com/weblog/
F-Secure Corporation                http://www.f-secure.com/
BE SURE.