古老rootkit生成物过国内三大、铁壳、趋势

显示全部楼层 · 发表于 2009-8-8 12:20:18

清理硬盘时翻出来的，算是比较老的世界知名rootkit样本（没记错的话，可能是Rustock.B)。
原rootkit安装程序检测到运行在虚拟机中，会覆盖系统文件夹中的ndis.sys，导致开机系统崩溃，起Anti VM作用。
原rootkit安装样本，几乎所有的杀软都入库了（包括国内三大、铁壳、趋势，不是启发）。但很遗憾，生成物没完全入库，至于原因就不得而知了。

扫描结果

扫描结果 :	49%的杀软(18/37)报告发现病毒
时间 :	2009/08/08 11:59:46 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	4.5.0.3	20090808063123	2009-08-08	Virus.Win32.Protector!IK	0.464
AntiVir	8.2.0.248	7.1.5.85	2009-08-07	RKIT/Protector.BC	0.323
Arcavir	2009	200908071405	2009-08-07	-	0.056
Authentium	5.1.1	200908071018	2009-08-07	-	1.239
AVAST!	4.7.4	090807-0	2009-08-07	Win32:Cutwail-J	0.013
AVG	8.5.288	270.13.47/2289	2009-08-08	Rootkit-Agent.DI	0.308
BitDefender	7.81008.3835137	7.27052	2009-08-08	Rootkit.19832	3.326
CA (VET)	9.0.0.143	31.6.6665	2009-08-08	-	7.970
ClamAV	0.95.2	9666	2009-08-08	-	0.040
Comodo	3.10	1904	2009-08-08	-	0.817
CP Secure	1.1.0.715	2009.08.08	2009-08-08	-	11.918
Dr.Web	4.44.0.9170	2009.08.07	2009-08-07	Trojan.NtRootKit.2912	5.076
F-Prot	4.4.4.56	20090807	2009-08-07	-	1.161
F-Secure	7.02.73807	2009.08.08.01	2009-08-08	Virus.Win32.Protector.b [AVP]	0.086
GData	19.6944/19.431	20090808	2009-08-08	Virus.Win32.Protector.b [Engine:A]	4.668
Ikarus	T3.1.01.64	2009.08.07.73200	2009-08-07	Virus.Win32.Protector	3.326
Microsoft	1.4903	2009.08.07	2009-08-07	Virus:Win32/Cutwail.F	5.596
Norman	6.01.09	6.01.00	2009-08-06	-	0.003
nProtect	20090807.01	4975345	2009-08-07	-	6.465
Quick Heal	10.00	2009.08.07	2009-08-07	-	1.261
Sophos	2.89.1	4.44	2009-08-08	Troj/Pushu-Gen	2.869
Sunbelt	5318	5318	2009-08-07	-	1.301
The Hacker	6.3.4.3	v00378	2009-08-07	-	1.241
VBA32	3.12.10.9	20090807.1152	2009-08-07	-	1.899
ViRobot	20090807	2009.08.07	2009-08-07	Trojan.Win32.Agent.212224	0.454
VirusBuster	4.5.11.10	10.111.6/1844209	2009-08-07	-	3.029
卡巴斯基	5.5.10	2009.08.08	2009-08-08	Virus.Win32.Protector.b	0.056
安博士V3	2009.08.07.07	2009.08.07	2009-08-07	Win32/Dnis.C	0.843
安天	2.0.18	20090804.2672262	2009-08-04	Virus/Win32.Protector.b	0.121
江民杀毒	11.0.800	2009.08.07	2009-08-07	-	5.656
熊猫卫士	9.05.01	2009.08.07	2009-08-07	W32/Protector.A	2.067
瑞星	20.0	21.41.44.00	2009-08-07	-	0.913
赛门铁克	1.3.0.24	20090807.007	2009-08-07	-	0.167
趋势科技	8.700-1004	6.350.02	2009-08-07	-	0.047
迈克菲	5.3.00	5702	2009-08-08	Generic.dx!js	3.035
金山毒霸	2009.2.5.15	2009.8.7.18	2009-08-07	-	0.471
飞塔	2.81-3.120	10.691	2009-08-07	W32/NtRootkit.AD!tr	0.223

注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断

[ 本帖最后由 dl123100 于 2009-8-8 12:33 编辑 ]

显示全部楼层 · 发表于 2009-8-8 12:26:57

显示全部楼层 · 发表于 2009-8-8 12:34:19

nod32轻松秒杀~

显示全部楼层 · 发表于 2009-8-8 12:36:26

Rustock

显示全部楼层 · 发表于 2009-8-8 12:37:12

Wigon。。。。。。

显示全部楼层 · 发表于 2009-8-8 12:37:54

NIS2009 直接扫描未发现病毒
解压时才报警

[ 本帖最后由 ihedong 于 2009-8-8 12:43 编辑 ]

显示全部楼层 · 发表于 2009-8-8 12:48:08

IObit Rootkit.Protector

[病毒样本] 古老rootkit生成物过国内三大、铁壳、趋势

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源