收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 趋势科技 [趋势病毒实验室]:一个几乎被所有杀软误判的病毒
12下一页
返回列表 发新帖
查看: 5584|回复: 12
收起左侧

[讨论] [趋势病毒实验室]:一个几乎被所有杀软误判的病毒

[复制链接]
cs_virus
发表于 2008-12-31 09:21:52 | 显示全部楼层 |阅读模式
今天下午收到一个样本,是一个PE感染型的病毒,同时具有反-杀毒软件的功能,并且可以通过U盘和网络传播。但是其最主要的危害在于——受感染的文件在运行后会被删除!

而另一方面,大部分主流杀毒软件帮了倒忙,受感染的文件或被误检测为后门,或被误检测为蠕虫,或被误检测为木马,最终将被感染的文件删除而非进行清除修复。

以下是受感染的记事本文件(notepad.exe)的检测结果
       FileName   : NOTEPAD.EXE
       TrendMicro : PE_ENISSEC.JM
       Symantec   : Backdoor.Trojan
       McAfee     : New Malware.aq !!
       Kaspersky  : Trojan-Downloader.Win32.Delf.qmt
       Rising     : [>>nspack]:Worm.Win32.Undef.bt
       Norman     : Trojan W32/Packed_Nspack.A   
       HBEDV      : TR/Dldr.Delphi.Gen   
       Nod32      : NO_VIRUS
       Panda      : NO_VIRUS
       CAI        : NO_VIRUS
       CAV        : NO_VIRUS
       Microsoft  : NO_VIRUS
       Fortinet   : NO_VIRUS
       Clamav     : NO_VIRUS
       Ewido      : NO_VIRUS
       Grisoft    : NO_VIRUS
       Fprot      : NO_VIRUS
       Ad-Aware   : NO_VIRUS

可以看到除了趋势科技正常的检测为PE感染型病毒并成功清除外,其他杀毒软件都不检测或检测错误:赛门铁克检测为后门木马(处理措施删除),麦咖啡检测为启发式检测,卡巴斯基检测为木马下载器(处理措施删除),瑞星检测为蠕虫(处理措施删除)。

可以想见,如果电脑中了这个病毒之后用户采用以上品牌的杀毒软件非但不能有效的清除病毒,反而会将收感染的正常文件删除从而导致更大的损失。



以下是这个病毒的一些详细信息:

文件名:TXPlatform.exe
文件大小:76,295 字节
MD5:72f15fd22e6d41101c8524831745b6f2
加壳信息:双层壳,第一层北斗壳,第二层未知壳
原始文件

脱了一层壳

又脱了一层,原来是Delphi


主要行为:

1.         释放并执行文件%windir%\system32\drivers\TXPlatform.exe,并加入自启动,之后退出原始进程,并删除原始文件(若该文件是受感染的文件运行后就被删除了),若运行的文件本身是%windir%\system32\drivers\TXPlatform.exe则跳过此步骤
2.         %windir%\system32\drivers\TXPlatform.exe执行后释放文件C:\QQ.sys(也是恶意文件,被检测为TSPY_AARD.A)
3.         关闭显示隐藏文件及显示系统文件功能
4.         遍历进程,如进程中有svchosL.exe则终止该进程(这是另一个病毒的进程,难道是病毒竞争行为?)
5.         打开自动播放功能
6.         在各磁盘根目录下生成病毒文件及autorun.inf,病毒文件名成为“   .exe”(三个全角空格,你看不见我~~),autorun.inf内容为:
    [AutoRun]
    OPEN=   .exe
    shell\open=打开(&O)
    shell\open\Command=   .exe
    shell\open\Default=1
    shell\explore=资源管理器(&X)
    shell\explore\Command=   .exe
  这样插入U盘后不管是双击打开U盘或者右击选择“打开”或“资源管理器”都会感染病毒。
7.         关闭Windows防火墙
8.         通过关键字搜索并关闭常见的杀毒软件的服务、进程
kavsvc
AVPAVPkavsvc
AVPkavsvc
kav
McShield
McTaskManager
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
SNDSrvc
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
RsCCenter
RsRavMon
AVP
AVPkavsvc
RsCCenter
RsRavMon
AVPkavsvc
(包含了赛门铁克、麦咖啡、瑞星等)
9.         删除常见杀毒软件的自启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXEnavapsvc
10.     如发现窗口中含有以下字符则终止该进程
Winsock Expert
ComnView
SmartSniff
Sniff
CaptureNet
spynet
Dsniff
嗅探
抓包
(Anti-Anti-ARP)
11.     寻找网络共享,使用guest账号、admin帐号、Administrator账号及Root账号(难道是觊觎Linux的美色?)并尝试使用空密码登录,复制病毒至共享文件
12.     感染所有exe文件,除非文件路径中包含以下关键字
WinRAR
WINNT
system32
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Common Files
Messenger
InstallShield Installation Information
MSN Gamin Zone
(对各位大大手下留情,否则自己也活不了了,对要利用的小弟也放一马)
13.     感染压缩包中的exe文件(使用Winrar解压并压缩,知道为什么之前不感染winrar了吧)
       使用的命令行
       解压压缩包:C:\Program Files\WinRAR\winrar.exe" x -inul -ibck -p-
       更新压缩包内的文件:C:\Program Files\WinRAR\winrar.exe" u -as -ep1 -inul -ibck
14.     使用IE下载其他恶意程序
15.     ARP攻击

样本不知道是不是我提供的,但是和我提的样一样,分析的比较透彻.

    .exe等病毒文件-卡巴斯基没有任何反应,已经测试过.

[ 本帖最后由 cs_virus 于 2008-12-31 09:26 编辑 ]
回复

举报

timsen
发表于 2008-12-31 09:39:08 | 显示全部楼层
病毒都是这样,能识别个别,不代表查杀率高
回复

举报

cs_virus
 楼主| 发表于 2008-12-31 09:41:49 | 显示全部楼层
能识别个别,不代表查杀率高。

恩,这个是的,查杀率高有很多因素综合的结果,我只能说这次处理的好没造成影响,如果文件被删就会出大问题,是承担不了的大问题,覆盖面积相当广,因为中的机器实在太多,最后是清除了,恢复正常。
回复

举报

禅师归来
头像被屏蔽
发表于 2008-12-31 16:11:54 | 显示全部楼层
路过看看。
回复

举报

多管闲事
发表于 2008-12-31 16:13:42 | 显示全部楼层
好像越来越多的病毒是采取的删除处理。
回复

举报

hum
发表于 2008-12-31 17:09:48 | 显示全部楼层
kavsvc

AVPAVPkavsvc

AVPkavsvc

kav

McShield

McTaskManager

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

SNDSrvc

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

RsCCenter

RsRavMon

AVP

AVPkavsvc

RsCCenter

RsRavMon

AVPkavsvc





不包括ccsvchst.
nis09的进程只有两个ccsvchst,其他cc开头的都是symantec早期版本的进程
。。。
回复

举报

maxi211
发表于 2008-12-31 18:10:17 | 显示全部楼层
趋势的效果还是好一些~~
回复

举报

tod20010_ren
发表于 2009-1-7 12:51:47 | 显示全部楼层
就一个个例能说明什么呢?难道说趋势比别的杀软都强?
回复

举报

dl123100
发表于 2009-1-7 12:54:21 | 显示全部楼层
趋势的修复感染文件能力感觉也一般吧
回复

举报

板砖飞向我
发表于 2009-1-7 12:54:37 | 显示全部楼层
趋势杀毒老是无法删除,一气之下不用了
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 11:01 , Processed in 0.126636 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表