病毒样本一个！Mcafee 无法查出此病毒。

chxking

这是一个木马病毒，前身是个木马，但已具备感染可执行文件的能力。

附件是一个被病毒感染了的Windows更新，各位可以从MS官方下载这个更新对比下就明白了。


我测试的结果是，目前：NOD32 4.2.35、Mcafee7.1、Symantec SEP11.0.5002.333、小红伞 9.0、360杀毒 1.1 1100C、微软自家的病毒 1.0.1961 加上最新的病毒库都无法识别此病毒。
360杀毒及AVG的杀毒产品的安装程序也能被病毒感染（这2个软件没有安装文件的自身防护功能）
病毒会劫持RPC服务，然后通过Svchost.exe 传播病毒，感染所有可以执行的Exe文件。

如果没有绝对的自信，不要轻易尝试执行这个病毒更新！

病毒最直接的表现就是会更换Windows\System32\rpcss.dll，将原rpcss.dll更换为arpcss.dll，达到劫持RPC服务的目的。。。
当然也许还有其他的现象，我没具体分析。。。

当然Mcafee的规则可以阻拦这个病毒，但是如果没有规则，病毒的行为Mcafee却无视（系统被感染及感染后的传播，Mcafee都无视），期待有大大能上报病毒样本。。。

72380656

AVG报告数字签名损坏

tetris

比直接从微软下载的WindowsXP-KB978262-x86-CHS.exe大了3K……没找到其它不一样的……

chxking

被病毒感染了，数字签名肯定会有破坏。。。

感染后，暂时似乎没有杀毒软件可以检测得出。。。

tetris

在线扫描的结果……就三个东西有反应，两个说有问题

F - Secure和symantec报了……F - prot说格式问题……

http://www.virustotal.com/

跟原件比，数字签名和文件大小不一样……

Antivirus         Version         Last Update         Result
a-squared         4.5.0.50         2010.03.17         -
AhnLab-V3         5.0.0.2         2010.03.16         -
AntiVir         8.2.1.180         2010.03.17         -
Antiy-AVL         2.0.3.7         2010.03.17         -
Authentium         5.2.0.5         2010.03.17         -
Avast         4.8.1351.0         2010.03.17         -
Avast5         5.0.332.0         2010.03.17         -
AVG         9.0.0.787         2010.03.17         -
BitDefender         7.2         2010.03.17         -
CAT-QuickHeal         10.00         2010.03.17         -
ClamAV         0.96.0.0-git         2010.03.17         -
Comodo         4293         2010.03.17         -
DrWeb         5.0.1.12222         2010.03.17         -
eSafe         7.0.17.0         2010.03.16         -
eTrust-Vet         35.2.7369         2010.03.17         -
F-Prot         4.5.1.85         2010.03.17         Unknown format or compression method
F-Secure         9.0.15370.0         2010.03.17         Suspicious:W32/Malware!Gemini
Fortinet         4.0.14.0         2010.03.15         -
GData         19         2010.03.17         -
Ikarus         T3.1.1.80.0         2010.03.17         -
Jiangmin         13.0.900         2010.03.17         -
K7AntiVirus         7.10.999         2010.03.16         -
Kaspersky         7.0.0.125         2010.03.17         -
McAfee         5922         2010.03.16         -
McAfee+Artemis         5922         2010.03.16         -
McAfee-GW-Edition         6.8.5         2010.03.17         -
Microsoft         1.5605         2010.03.17         -
NOD32         4951         2010.03.17         -
Norman         6.04.08         2010.03.16         -
nProtect         2009.1.8.0         2010.03.17         -
Panda         10.0.2.2         2010.03.17         -
PCTools         7.0.3.5         2010.03.17         -
Prevx         3.0         2010.03.17         -
Rising         22.39.02.04         2010.03.17         -
Sophos         4.51.0         2010.03.17         -
Sunbelt         5930         2010.03.17         -
Symantec         20091.2.0.41         2010.03.17         Suspicious.Insight
TheHacker         6.5.2.0.235         2010.03.17         -
TrendMicro         9.120.0.1004         2010.03.17         -
VBA32         3.12.12.2         2010.03.17         -
ViRobot         2010.3.17.2232         2010.03.17         -
VirusBuster         5.0.27.0         2010.03.16         -

chxking

Symantec         20091.2.0.41 这个了我试了最新的SEP，无反应，并且执行病毒期间，病毒感染及传播，SEP也是直接无视。。。

rok827

回复 5# tetris


    铁壳那个是没有报，只是没有来源信息所以定为可疑，但是下到电脑上是不会报的！

isaiah

sophos也无视

jedi_zhu

月神可以查杀,数字签名损坏的月神格杀勿论

无奈的思绪

下载完报毒奇怪啊，我业没开压缩包扫描，但扫压缩包却没有发现，  MCAFEE 8.7I