对于RavLovGate.com，卡巴斯基分析员的答复中我有点不明？

醉一生爱妍

我请问下梦幻

RavLovGate.com_ 这个文件不是误报，这个工具有恶意代码，工具可以修改防火墙程序的配置文件

我请问下梦幻，这个工具可以修改防火墙程序的配置文件

我想问问 是修改哪个防火墙程序的配置文件了？

是系统自带的？瑞星防火墙？（感觉这不太可能，修改自身配置文件估计是加强防护）

对于回答我就是不明白 能否提供是修改哪款防火墙程序的配置文件了？

同时我也亲自运行了 感觉这个程序真的是正常不过

不信我去瑞星官方网站亲自再去下个 在运行

借用样本区宝地。。。版主给个面子

就是想搞明白 究竟修改什么了？？？

-----------------------------------------------------------------------

这估计也就是个误报？？？

Sherry.ai

误杀的不止这一个...
很多专杀都被会被误Kill

syfwxmh

你看我回复就知道了，我没有装虚拟机和沙盘所以具体行为和代码我并没有分析。

那个压缩包一共存在两个工具一个是自动解压，另外一个是工具。

其中AVG，AVIRA，卡巴，费尔，铁壳、BD等报的是第一个，微点报的是另外一个压缩包的explorer（这个是个假的explorer，没有数字签名没有微软签证，而且大小完全和系统不一样，至于有没有问题我没有自己检测）

卡巴回复的那个指的是第一个工具存在修改配置工具，如果没有猜错应该指的是windows自带的防火墙配置文件。

详细的情况我会进行OD和沙盘分析，如果是卡巴的问题，我会直接发至他们经理那里让他们修正。

newcenturysun

原帖由 syfwxmh 于 2009-1-28 16:17 发表
你看我回复就知道了，我没有装虚拟机和沙盘所以具体行为和代码我并没有分析。

那个压缩包一共存在两个工具一个是自动解压，另外一个是工具。

其中AVG，AVIRA，卡巴，费尔，铁壳、BD等报的是第一个，微点报的是 ...

我来帮你分析吧
第一个 所谓的net命令是这样的


貌似是取消共享的命令 并非什么修改防火墙配置的命令吧？

第二个 Explorer.exe
就这么一点代码
.text:00401000                 sub     esp, 60h
.text:00401003                 mov     eax, dword_406030 ; SvaR
.text:00401008                 mov     ecx, dword_406034 ; .new
.text:0040100E                 mov     edx, dword_406038 ; exe
.text:00401014                 push    edi
.text:00401015                 mov     dword ptr [esp+64h+ApplicationName], eax
.text:00401019                 mov     [esp+64h+var_5C], ecx
.text:0040101D                 mov     ecx, 11h
.text:00401022                 xor     eax, eax
.text:00401024                 lea     edi, [esp+64h+StartupInfo]
.text:00401028                 mov     [esp+64h+var_58], edx
.text:0040102C                 rep stosd
.text:0040102E                 mov     [esp+64h+ProcessInformation.hProcess], eax
.text:00401032                 lea     ecx, [esp+64h+ProcessInformation]
.text:00401036                 mov     [esp+64h+ProcessInformation.hThread], eax
.text:0040103A                 lea     edx, [esp+64h+StartupInfo]
.text:0040103E                 mov     [esp+64h+ProcessInformation.dwProcessId], eax
.text:00401042                 push    ecx             ; lpProcessInformation
.text:00401043                 push    edx             ; lpStartupInfo
.text:00401044                 push    eax             ; lpCurrentDirectory
.text:00401045                 push    eax             ; lpEnvironment
.text:00401046                 push    eax             ; dwCreationFlags
.text:00401047                 push    eax             ; bInheritHandles
.text:00401048                 push    eax             ; lpThreadAttributes
.text:00401049                 push    eax             ; lpProcessAttributes
.text:0040104A                 mov     [esp+84h+ProcessInformation.dwThreadId], eax
.text:0040104E                 push    eax             ; lpCommandLine
.text:0040104F                 lea     eax, [esp+88h+ApplicationName]
.text:00401053                 push    eax             ; lpApplicationName
.text:00401054                 mov     [esp+8Ch+StartupInfo.cb], 44h
.text:0040105C                 call    ds:CreateProcessA
.text:00401062                 xor     eax, eax
.text:00401064                 pop     edi
.text:00401065                 add     esp, 60h
.text:00401068                 retn
.text:00401068 _main           endp

他就是负责创建一个进程 这个进程就是专杀的病毒名SvaRnew.exe
下面再无其他行为

.text:00401108                 mov     eax, envp
.text:0040110D                 mov     dword_408508, eax
.text:00401112                 push    eax             ; envp
.text:00401113                 push    argv            ; argv
.text:00401119                 push    argc            ; argc
.text:0040111F                 call    _main
.text:00401124                 add     esp, 0Ch
.text:00401127                 mov     [ebp+var_1C], eax
.text:0040112A                 push    eax             ; Code
.text:0040112B                 call    _exit
.text:0040112B start           endp
.text:0040112B


这两个专杀为什么要这样写 我们还要追其这个病毒当时是如何破坏的 可能是为了防止专杀被病毒破坏等等搞的 但本身无恶意代码

证据够充足吧

哎  这回可能得麻烦 咱们伟大的“测评主管”去
“亲自”找卡巴“经理”说说这事了吧？！麻烦您了～～

醉一生爱妍

谢谢指导

syfwxmh

谢谢评测，我已经把数据传回去了

newcenturysun

原帖由 syfwxmh 于 2009-1-28 17:20 发表
谢谢评测，我已经把数据传回去了

syfwxmh

没事，刚才我重新安装系统来的，所以一直没法测试：）

我分析了一下和你的结果稍微有些差别，就是在修改配置文件那里。不过确实文件属于clean：）从代码来看也属于正常文件，不过我觉得这种编法很容易造成误报。

syfwxmh

Hello.

Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.

醉一生爱妍

解决了