收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 绕过大多数杀软!
1234下一页
返回列表 发新帖
查看: 6473|回复: 30
收起左侧

[病毒样本] 绕过大多数杀软!

  [复制链接]
无聊
发表于 2009-12-5 16:58:07 | 显示全部楼层 |阅读模式
最近在我们学校流行一种autorun病毒的变种,其行为和以前的很不一样,可以绕过绝大多数常用的杀软!
目前KIS2010和NIS2010均检测不到。
以下内容来自VirusTotal :                                           结果: 9/40 (22.50%)

反病毒引擎版本最后更新扫描结果
a-squared4.5.0.432009.12.05-
AhnLab-V35.0.0.22009.12.04-
AntiVir7.9.1.922009.12.04-
Antiy-AVL2.0.3.72009.12.04-
Authentium5.2.0.52009.12.02-
Avast4.8.1351.02009.12.04-
AVG8.5.0.4262009.12.04-
BitDefender7.22009.12.05-
CAT-QuickHeal10.002009.12.05-
ClamAV0.94.12009.12.04Worm.Autorun-1899
Comodo31032009.12.01-
DrWeb5.0.0.121822009.12.05-
eSafe7.0.17.02009.12.03-
eTrust-Vet35.1.71592009.12.04-
F-Prot4.5.1.852009.12.04-
F-Secure9.0.15370.02009.12.03-
Fortinet4.0.14.02009.12.04-
GData192009.12.05-
IkarusT3.1.1.74.02009.12.05-
K7AntiVirus7.10.9102009.12.03Worm.Win32.AutoRun.BG
Kaspersky7.0.0.1252009.12.05-
McAfee58222009.12.04VBS/Autorun.worm.gd
McAfee+Artemis58222009.12.04VBS/Autorun.worm.gd
McAfee-GW-Edition6.8.52009.12.05-
Microsoft1.53022009.12.05-
NOD3246612009.12.04INF/Autorun.gen
Norman6.03.022009.12.04-
nProtect2009.1.8.02009.12.05-
Panda10.0.2.22009.12.05-
PCTools7.0.3.52009.12.05-
Prevx3.02009.12.05-
Rising22.24.05.042009.12.05Worm.Script.VBS.Autorun.be
Sophos4.48.02009.12.05W32/Autorun-AUE
Sunbelt3.2.1858.22009.12.05-
Symantec1.4.4.122009.12.05VBS.Runauto
TheHacker6.5.0.2.0852009.12.04-
TrendMicro9.100.0.10012009.12.05Mal_Otorun1
VBA323.12.12.02009.12.03-
ViRobot2009.12.4.20722009.12.04-
VirusBuster5.0.21.02009.12.04-


以下内容来自virscan.org
扫描结果 :  32%的杀软(12/37)报告发现病毒
时间 :  2009/12/05 16:44:44 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared4.5.0.8200912050232082009-12-05-
20.588
AntiVir8.2.1.927.10.1.1692009-12-04-
0.159
Arcavir20092009120413382009-12-04Worm.Autorun.Gen.6
0.027
Authentium5.1.12009120423022009-12-04-
1.391
AVAST!4.7.4091204-02009-12-04-
0.004
AVG8.5.288270.14.94/25452009-12-05VBS/Autorun
0.371
BitDefender7.81008.46931047.293052009-12-05-
4.467
CA (VET)35.1.071582009-12-04-
21.604
ClamAV0.95.2101132009-12-04Worm.Autorun-1899
0.007
Comodo3.1331432009-12-05-
9.825
CP Secure1.3.0.52009.12.042009-12-04-
0.008
Dr.Web4.44.0.91702009.12.052009-12-05-
7.376
F-Prot4.4.4.56200912042009-12-04-
1.212
F-Secure7.02.738072009.12.05.012009-12-05-
0.167
GData19.9173/19.605200912052009-12-05-
14.867
IkarusT3.1.01.742009.12.05.746512009-12-05-
4.160
Microsoft1.53022009.12.052009-12-05-
20.555
Norman6.01.096.01.002009-12-04INI/AutoRun.CYJ
4.006
nProtect20091203.0164824282009-12-03-
6.470
Quick Heal10.002009.12.052009-12-05-
26.358
Sophos3.02.04.482009-12-05W32/Autorun-AUE
3.313
Sunbelt3.9.2381.255452009-12-04INF.Autorun (v)
4.721
The Hacker6.5.0.2v000852009-12-04-
1.430
VBA323.12.12.020091202.21562009-12-02-
2.158
ViRobot200912042009.12.042009-12-04-
2.318
VirusBuster4.5.11.1010.114.9/20035702009-12-04INF.Autorun.Gen
2.368
卡巴斯基5.5.102009.12.052009-12-05-
0.050
安博士V32009.12.04.022009.12.042009-12-04-
4.620
安天2.0.1820091204.33476762009-12-04-
0.171
江民杀毒13.0.9002009.12.022009-12-02-
40.124
熊猫卫士9.05.012009.12.042009-12-04-
24.439
瑞星20.022.24.05.042009-12-05Worm.Script.VBS.Autorun.be
2.235
赛门铁克1.3.0.2420091204.0372009-12-04VBS.Runauto
0.864
趋势科技9.000-10036.672.012009-12-05Mal_Otorun1
0.026
迈克菲5.3.0058222009-12-04VBS/Autorun.worm.gd
3.281
金山毒霸2009.2.5.152009.12.5.152009-12-05VBS.AutoRun.w
5.965
飞塔11.126-11.1262009-12-04-
1.097


通过以上引擎的结果可知,该病毒的检测率极低!
我已经对其进行了基本的分析,该病毒手杀还是比较容易的,就是比较麻烦。
对于为什么麻烦,请有兴趣的自己分析一下就明白了[:26:]
附上样本:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

无聊
 楼主| 发表于 2009-12-5 16:59:41 | 显示全部楼层
感觉奇怪的是NIS2010检测不到,而Symantec却可以,难道企业版的就是好??
回复

举报

山林野士
发表于 2009-12-5 17:05:04 | 显示全部楼层
过了微点扫描版
回复

举报

62590423
发表于 2009-12-5 17:06:14 | 显示全部楼层
程序:

C:\458157072.VBS
C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\AUTORUN.INF
是可疑程序!
是否阻止该进程继续运行?


程序:
1) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\新建文件夹\新建文件夹\41977908.VBS
2) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\AUTORUN.INF
3) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\新建文件夹\新建文件夹\41977908.VBS
4) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\SYSTEM32\WBEM\LOGS\WBEMPROX.LOG
5) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\458157072.VBS
6) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\D\1070352729.VBS
7) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\E\2018646155.VBS
8) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\F\492837892.VBS
9) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\EXPLORER.EXE:458157072.VBS

是否删除木马程序及其衍生物?
回复

举报

62590423
发表于 2009-12-5 17:08:07 | 显示全部楼层
to kl mp drweb avira
回复

举报

囧神
头像被屏蔽
发表于 2009-12-5 17:53:07 | 显示全部楼层
囧~过360杀毒~囧囧
回复

举报

wliao
发表于 2009-12-5 19:14:03 | 显示全部楼层
微点

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

失落的手链
发表于 2009-12-5 19:14:39 | 显示全部楼层
瑞星2010
Worm.Script.VBS.Autorun.be
回复

举报

adad2008
头像被屏蔽
发表于 2009-12-5 19:32:23 | 显示全部楼层
kv报vbs病毒
回复

举报

yishuad
发表于 2009-12-5 19:38:04 | 显示全部楼层
真是厉害呀
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-20 00:52 , Processed in 0.086950 second(s), 2 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表