收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 kis506报它们竟然是病毒,昏倒了,显然是。。。(详见23 ...
12345下一页
返回列表 发新帖
楼主: kyotoair
 收起左侧

[病毒样本] kis506报它们竟然是病毒,昏倒了,显然是。。。(详见23、26楼)

[复制链接]
syfwxmh
发表于 2009-1-28 11:39:36 | 显示全部楼层
反病毒引擎 版本 最后更新 扫描结果
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.27 -
AntiVir 7.9.0.60 2009.01.27 TR/Genome.hvo
Authentium 5.1.0.4 2009.01.27 W32/Downloader.AT.gen!Eldorado
Avast 4.8.1281.0 2009.01.27 -
AVG 8.0.0.229 2009.01.27 Suspicion: unknown virus
BitDefender 7.2 2009.01.28 Backdoor.Bot.72401
CAT-QuickHeal 10.00 2009.01.28 -
ClamAV 0.94.1 2009.01.27 Worm.Mytob.IS
Comodo 948 2009.01.27 -
DrWeb 4.44.0.09170 2009.01.28 -
eSafe 7.0.17.0 2009.01.27 Suspicious File
eTrust-Vet 31.6.6329 2009.01.27 -
F-Prot 4.4.4.56 2009.01.27 W32/Downloader.AT.gen!Eldorado
F-Secure 8.0.14470.0 2009.01.28 W32/Packed_NsPack.E
Fortinet 3.117.0.0 2009.01.28 -
GData 19 2009.01.28 Backdoor.Bot.72401
Ikarus T3.1.1.45.0 2009.01.28 Virus.Win32.Bifrose
K7AntiVirus 7.10.607 2009.01.27 -
Kaspersky 7.0.0.125 2009.01.28 Trojan.Win32.Genome.hvo
McAfee 5508 2009.01.27 Generic.dx
McAfee+Artemis 5508 2009.01.27 Generic.dx
Microsoft 1.4205 2009.01.28 -
NOD32 3805 2009.01.28 -
Norman 5.93.01 2009.01.27 W32/Packed_NsPack.E
nProtect 2009.1.8.0 2009.01.28 -
Panda 9.5.1.2 2009.01.27 -
PCTools 4.4.2.0 2009.01.27 Packed/NSPack
Prevx1 V2 2009.01.28 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.27 Trojan.Genome.hvo
Sophos 4.37.0 2009.01.27 Mal/EncPk-F
Sunbelt 3.2.1835.2 2009.01.16 -
TheHacker 6.3.1.5.229 2009.01.26 -
TrendMicro 8.700.0.1004 2009.01.27 -
VBA32 3.12.8.11 2009.01.27 -
ViRobot 2009.1.23.1577 2009.01.26 -
VirusBuster 4.5.11.0 2009.01.27 Packed/NSPack
VirSCAN.org Scanned Report :
Scanned time   : 2009/01/28 11:23:42 (CST)
Scanner results: 43%的杀软(16/37)报告发现病毒
File Name      : rav.rar
File Size      : 219003 byte
File Type      : RAR archive data, v1d, os
MD5            : c4f80119bbaf6310c7eb8e8d86d76958
SHA1           : 504988359d663f0699578829e653d429c74f5aa6
Online report  : http://virscan.org/report/bd8b2c0761e33bcefe8134e2fcf7648c.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.0.0.29        20090127170226    2009-01-27  3.88   Virus.Win32.Bifrose!IK
安博士V3       2009.01.28.00   2009.01.28        2009-01-28  1.44   -
AntiVir        7.9.0.60        7.1.1.189         2009-01-27  1.92   TR/Genome.hvo
安天           2.0.18          20090118.2063925  2009-01-18  0.02   -
Authentium     5.1.1           200901271710      2009-01-27  1.28   W32/Downloader.AT.gen!Eldorado (Possible)
AVAST!         3.0.1           090127-0          2009-01-27  0.00   -
AVG            7.5.52.442      270.10.14/1920    2009-01-27  2.55   -
BitDefender    7.81008.2615025 7.23362           2009-01-28  2.51   Backdoor.Bot.72401
CA (VET)       9.0.0.143       31.6.6330         2009-01-28  5.09   -
ClamAV         0.94.2          8913              2009-01-28  0.15   Worm.Mytob.IS
Comodo         3.0             948               2009-01-27  0.93   -
CP Secure      1.1.0.715       2009.01.28        2009-01-28  7.24   BackDoor.W32.Hupigon.rc
Dr.Web         4.44.0.9170     2009.01.27        2009-01-27  4.28   -
F-Prot         4.4.4.56        20090127          2009-01-27  1.27   W32/Downloader.AT.gen!Eldorado (generic, not disinfectable)
F-Secure       5.51.6100       2009.01.27.09     2009-01-27  4.76   Trojan.Win32.Genome.hvo [AVP]
飞塔           2.81-3.117      9.973             2009-01-27  0.77   -
GData          19.2616/19.200  20090128          2009-01-28  3.21   Trojan.Win32.Genome.hvo [Engine:A]
ViRobot        20090123        2009.01.23        2009-01-23  0.40   -
Ikarus         T3.1.01.45      2009.01.28.72220  2009-01-28  3.74   Virus.Win32.Bifrose
江民杀毒       11.0.706        2009.01.27        2009-01-27  1.51   -
卡巴斯基       5.5.10          2009.01.27        2009-01-27  0.29   Trojan.Win32.Genome.hvo
金山毒霸       2008.9.8.18     2009.1.28.9       2009-01-28  1.04   -
迈克菲         5.3.00          5508              2009-01-27  3.15   Generic.dx
Microsoft      1.4205          2009.01.28        2009-01-28  5.29   -
mks_vir        2.01            2009.01.27        2009-01-27  3.31   -
Norman         5.93.01         5.93.00           2009-01-20  6.57   W32/Packed_NsPack.E
熊猫卫士       9.05.01         2009.01.27        2009-01-27  3.46   -
趋势科技       8.700-1004      5.798.07          2009-01-27  2.02   -
Quick Heal     10.00           2009.01.28        2009-01-28  1.62   -
瑞星           20.0            21.13.50.00       2009-01-24  1.44   -
Sophos         2.82.1          4.37              2009-01-28  2.76   Mal/EncPk-F
Sunbelt        4756            4756              2009-01-08  1.73   -
赛门铁克       1.3.0.24        20090127.004      2009-01-27  0.22   W32.Spybot.Worm
nProtect       20090127.02     3071863           2009-01-27  3.88   Backdoor.Bot.72401
The Hacker     6.3.1.5         v00229            2009-01-26  1.04   -
VBA32          3.12.8.11       20090127.0856     2009-01-27  2.01   -
VirusBuster    4.5.11.10       10.100.40/784661  2009-01-27  1.53   -

[ 本帖最后由 syfwxmh 于 2009-1-28 11:42 编辑 ]
回复

举报

fxqs
发表于 2009-1-28 12:24:00 | 显示全部楼层
卡巴报告有恶意软件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hj5abc
发表于 2009-1-28 13:30:22 | 显示全部楼层
ravlovegate确实雷人。



看到这一串我就发抖。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

The EQs
发表于 2009-1-28 13:32:45 | 显示全部楼层
基本上卡巴一误报,其他杀软也跟着误报。。。。。以前只有卡巴一家报系统文件,传到VT几天后就又有不少厂商跟着误报

[ 本帖最后由 EQ2 于 2009-1-28 13:34 编辑 ]
回复

举报

醉一生爱妍
发表于 2009-1-28 14:04:13 | 显示全部楼层

回复 12楼 syfwxmh 的帖子

这应该是别有用心吧

话说回来 你虽然怀疑有理 但是我觉得你应该还是第一时间上报给卡巴 你自己的能力尚未肯定。。。

你也有点不对 梦幻 我也感觉你有点偏袒kl

最简单解决的方法 把该工具上报给瑞星厂商 跟他们说明白 卡巴斯基为何会报。。。

[ 本帖最后由 WillBeNextKido 于 2009-1-28 14:08 编辑 ]
回复

举报

浪滔天
发表于 2009-1-28 15:02:14 | 显示全部楼层

回复 35楼 WillBeNextKido 的帖子

这个是4、5年前的东西了,我查了现在的专杀工具,已经没这样的行为了。看33楼的,当时我试的时候确实被吓得不轻。。。
回复

举报

qianwenxiang
发表于 2009-1-28 15:09:43 | 显示全部楼层
RARSFX的explorer.exe名字确实有点雷人,刚刚稍微查了一下百度,据说是那个LovGate修改了EXE的关联, 如果这样的话这个程序可能意思是用SFX的模式先启动explorer.exe,再启动主程序。explorer.exe的代码比较简单,只用了CreateProcessA启动RavSwen.exe也就退出了,不过那个专杀工具(没太仔细看)点击杀毒之后在沙盘确实出现了如33L朋友所说的情况,可能在尝试用特殊的方法读取了内存中运行的模块,最后沙盘中启动net.exe(退出),conime.exe,单独看专杀可能动作是有点怪,不过觉得这些操作可能是跟LoveGate病毒的动作有关,毕竟以前的毒喜欢玩关联之类的东西。如果可以的话希望能够去和两边官方沟通一下,看看能否协商解决问题
回复

举报

newcenturysun
发表于 2009-1-28 15:11:35 | 显示全部楼层
专杀里面的explorer.exe就这么一点代码
.text:00401000                 sub     esp, 60h
.text:00401003                 mov     eax, dword_406030 ; SvaR
.text:00401008                 mov     ecx, dword_406034 ; .new
.text:0040100E                 mov     edx, dword_406038 ; exe
.text:00401014                 push    edi
.text:00401015                 mov     dword ptr [esp+64h+ApplicationName], eax
.text:00401019                 mov     [esp+64h+var_5C], ecx
.text:0040101D                 mov     ecx, 11h
.text:00401022                 xor     eax, eax
.text:00401024                 lea     edi, [esp+64h+StartupInfo]
.text:00401028                 mov     [esp+64h+var_58], edx
.text:0040102C                 rep stosd
.text:0040102E                 mov     [esp+64h+ProcessInformation.hProcess], eax
.text:00401032                 lea     ecx, [esp+64h+ProcessInformation]
.text:00401036                 mov     [esp+64h+ProcessInformation.hThread], eax
.text:0040103A                 lea     edx, [esp+64h+StartupInfo]
.text:0040103E                 mov     [esp+64h+ProcessInformation.dwProcessId], eax
.text:00401042                 push    ecx             ; lpProcessInformation
.text:00401043                 push    edx             ; lpStartupInfo
.text:00401044                 push    eax             ; lpCurrentDirectory
.text:00401045                 push    eax             ; lpEnvironment
.text:00401046                 push    eax             ; dwCreationFlags
.text:00401047                 push    eax             ; bInheritHandles
.text:00401048                 push    eax             ; lpThreadAttributes
.text:00401049                 push    eax             ; lpProcessAttributes
.text:0040104A                 mov     [esp+84h+ProcessInformation.dwThreadId], eax
.text:0040104E                 push    eax             ; lpCommandLine
.text:0040104F                 lea     eax, [esp+88h+ApplicationName]
.text:00401053                 push    eax             ; lpApplicationName
.text:00401054                 mov     [esp+8Ch+StartupInfo.cb], 44h
.text:0040105C                 call    ds:CreateProcessA
.text:00401062                 xor     eax, eax
.text:00401064                 pop     edi
.text:00401065                 add     esp, 60h
.text:00401068                 retn
.text:00401068 _main           endp

他就是负责创建一个进程 这个进程就是专杀的病毒名SvaRnew.exe
下面再无其他行为

.text:00401108                 mov     eax, envp
.text:0040110D                 mov     dword_408508, eax
.text:00401112                 push    eax             ; envp
.text:00401113                 push    argv            ; argv
.text:00401119                 push    argc            ; argc
.text:0040111F                 call    _main
.text:00401124                 add     esp, 0Ch
.text:00401127                 mov     [ebp+var_1C], eax
.text:0040112A                 push    eax             ; Code
.text:0040112B                 call    _exit
.text:0040112B start           endp
.text:0040112B

至于为什么要这样写 还要追其这个病毒当时是如何破坏的 可能是为了防止专杀被病毒破坏等等搞的 但本身无恶意代码

另外请某些“测评主管”  不要单单相信杀软厂商的查毒结果  最好自己分析分析~  要相信自己的眼睛~

[ 本帖最后由 newcenturysun 于 2009-1-28 15:18 编辑 ]
回复

举报

浪滔天
发表于 2009-1-28 15:24:49 | 显示全部楼层
咳,怎么都不仔细看帖呢,带 explorer.exe 的那个确实没问题,卡巴也说没问题,问题是 explorer.exe 这个名字容易误导,卡8启发报它也是因为这个名称的缘故,但这也没什么好说的。而 ravlovegate 是好几年前的东西了,查毒行为古怪,看来确实让不少杀毒厂商着了道了。

[ 本帖最后由 浪滔天 于 2009-1-28 15:26 编辑 ]
回复

举报

newcenturysun
发表于 2009-1-28 17:14:48 | 显示全部楼层
第一个病毒


貌似和取消共享啥的有关 和 防火墙啥的没啥关系吧?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-19 21:58 , Processed in 0.106096 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表