一个普通的样本--sndvol32.rar，诺顿、麦咖啡的特征扫描被pass了

baijian_8d

网上一些端口、漏洞的扫描客，真tm无聊，一天到晚玩扫啊扫，扫到了赶紧控制起来做肉鸡。

区区一个sql server漏洞，且端口对外开放了，设的弱密码，结果被木马入侵了，还是感染型的。

这不，把系统文件给感染了 sndvol32.exe就是其中一个，当然还有其他的系统文件。

被感染的文件本身倒没什么，关键是放到www.virscan.org扫描时，过的还不少，不过国内三大杀软都报了。

号称企业版领域里的杀软，简直就是三大“看客”，特征码扫描时，不为不动，这三家为响当当的赛门铁克，趋势，卖咖啡，或许有人说，他们的企业版就是整体防御，重点保障文件安全等等。但是有句话说得好，一屋不扫，何以扫天下。

试问，在中国买企业版赚钱赚到翻的诺顿，有何脸面？

本人在深圳电信做事的，办公室里全部装的是诺顿这个破烂，已经给同事增加了很多麻烦，已经发生过好多次了，其中有一次，访问了挂马的内部系统的网页，好多同事(都没打补丁)中毒之后，网维的人也不会帮你杀毒，只能自己重装系统解决，与其这样，好多人都换杀软了，反正中了木马没人管的。

附图：扫描结果。

以及被感染的调音量的程序。

[ 本帖最后由 baijian_8d 于 2009-8-16 19:06 编辑 ]

悠柚

企业有硬件防火墙又不连外网
to IObit

as4524

怎么看不到红伞 BD也过了 毕竟杀软不是万能的吧

baijian_8d

企业有硬件防火墙又不连外网

==============================
你上过班没？

如果你属于上班族，公司允许上外网不？

如果外网上不了，内网上得了不？

内网怎么防？内网也放一个硬件防火墙？

硬件防火墙是防啥的？

[ 本帖最后由 baijian_8d 于 2009-8-16 19:13 编辑 ]

baijian_8d

扫描结果

扫描结果 :	38%的杀软(14/37)报告发现病毒
时间 :	2009/08/16 18:25:44 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	4.5.0.3	20090816174046	2009-08-16	Virus.Win32.Lamechi!IK	0.355
AntiVir	8.2.1.1	7.1.5.117	2009-08-14	-	0.184
Arcavir	2009	200908151354	2009-08-15	-	0.052
Authentium	5.1.1	200908151759	2009-08-15	-	1.218
AVAST!	4.7.4	090815-0	2009-08-15	Win32:Downloader-CPL	0.009
AVG	8.5.288	270.13.58/2306	2009-08-16	Generic13.BIQK	0.302
BitDefender	7.81008.3880415	7.27184	2009-08-16	-	3.317
CA (VET)	9.0.0.143	31.6.6677	2009-08-15	-	6.955
ClamAV	0.95.2	9702	2009-08-16	-	0.036
Comodo	3.10	1987	2009-08-16	-	1.100
CP Secure	1.1.0.715	2009.08.14	2009-08-14	-	12.119
Dr.Web	4.44.0.9170	2009.08.16	2009-08-16	-	5.128
F-Prot	4.4.4.56	20090815	2009-08-15	W32/Lamechi.A.gen!Eldorado (generic, not disinfectable)	1.190
F-Secure	7.02.73807	2009.08.16.03	2009-08-16	Virus.Win32.Downloader.bl [AVP]	0.160
GData	19.7167/19.440	20090816	2009-08-16	Virus.Win32.Downloader.bl [Engine:A]	5.556
Ikarus	T3.1.01.64	2009.08.16.73247	2009-08-16	Virus.Win32.Lamechi	4.100
Microsoft	1.4903	2009.08.15	2009-08-15	Virus:Win32/Lamechi.A	5.434
Norman	6.01.09	6.01.00	2009-08-14	W32/Downloader.XKX	4.009
nProtect	20090816.01	5054570	2009-08-16	-	6.602
Quick Heal	10.00	2009.08.16	2009-08-16	-	1.100
Sophos	2.89.1	4.44	2009-08-16	-	3.064
Sunbelt	5336	5336	2009-08-15	-	1.487
The Hacker	6.3.4.3	v00383	2009-08-12	-	0.677
VBA32	3.12.10.9	20090815.1958	2009-08-15	-	1.855
ViRobot	20090814	2009.08.14	2009-08-14	-	0.424
VirusBuster	4.5.11.10	10.112.6/1792870	2009-08-15	-	2.235
卡巴斯基	5.5.10	2009.08.16	2009-08-16	Virus.Win32.Downloader.bl	0.056
安博士V3	2009.08.15.01	2009.08.15	2009-08-15	-	0.784
安天	2.0.18	20090816.2711867	2009-08-16	-	0.119
江民杀毒	11.0.800	2009.08.16	2009-08-16	Trojan/Agent.ctwk	3.444
熊猫卫士	9.05.01	2009.08.15	2009-08-15	Suspicious file	1.685
瑞星	20.0	21.42.62.00	2009-08-16	Win32.Cekar.z	0.945
赛门铁克	1.3.0.24	20090815.003	2009-08-15	-	0.087
趋势科技	8.700-1004	6.366.20	2009-08-15	-	0.055
迈克菲	5.3.00	5710	2009-08-15	-	3.258
金山毒霸	2009.2.5.15	2009.8.16.15	2009-08-16	Win32.Terminator.s.40960	0.472
飞塔	2.81-3.120	10.722	2009-08-16	-	0.290

注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断

复制到剪贴板

悠柚

企业用的只要稳定就行，根据Sophos的意见，认为网管应该有足够的技术与水平，杀软不要太强力的，mcafee之类的都有应用程序控制之类的，可以让你除了工作外，什么都干不成，误杀的话，会把杀软公司告到破产

ll47548205

2009-07-23 19:36:27    运行应用程序      操作:阻止
进程路径:D:\新建文件夹\sndvol32.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp
触发规则:所有程序规则->全局禁运->*

luxiao200888

C:\Documents and Settings\Owner\桌面\sndvol32.rar > RAR > sndvol32.exe - 未查明的 NewHeur_PE 病毒

baijian_8d

稳定？客户端的用户会这样想？如果诺顿是这样一种"稳定"法，用户就不会换软件了。

当然，诺顿会这样想滴，多好的托词呀，嗯，没错，稳定压倒一切。

杀毒只有对和错，没有强力一说。

================

上次诺顿误杀 winxp 中文版某一个文件(业内人士都知道)，导致好多电脑知识不足的用户重装了，要知道，对上班族而言，重装系统是一件不能容忍的事情。

就像上次星星破坏了outlook的邮箱文件一样，这种性质的误杀，是杀软行业的大忌，需要尽力的避免。

[ 本帖最后由 baijian_8d 于 2009-8-16 19:31 编辑 ]

z2665

如果是公司就不用担心，一般防火墙都是isa很bt的说
如果是个人·你没事开啥sql，关键是你又没按防火墙
so防火墙是重要的