收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 最新病毒样本一个!绝大部分的杀毒软件无法查出此病毒
12345678910... 11下一页
返回列表 发新帖
查看: 19439|回复: 101
收起左侧

[病毒样本] 最新病毒样本一个!绝大部分的杀毒软件无法查出此病毒

  [复制链接]
chxking
发表于 2010-3-18 09:28:40 | 显示全部楼层 |阅读模式
本帖最后由 chxking 于 2010-3-19 08:56 编辑

最新病毒样本一个!绝大部分的杀毒软件无法查出此病毒

这是一个木马病毒,前身是个木马,但已具备感染可执行文件的能力。

附件是一个被病毒感染了的Windows更新,各位可以从MS官方下载这个更新对比下就明白了。


我测试的结果是,目前:NOD32 4.2.35、Mcafee7.1、Symantec SEP11.0.5002.333、小红伞 9.0、360杀毒 1.1 1100C、微软自家的病毒 1.0.1961 加上最新的病毒库都无法识别此病毒。
360杀毒及AVG的杀毒产品的安装程序也能被病毒感染(这2个软件没有安装文件的自身防护功能)

病毒会劫持RPC服务,然后通过Svchost.exe 传播病毒,感染所有可以执行的Exe文件。

如果没有绝对的自信,不要轻易尝试执行这个病毒更新!

病毒最直接的表现就是会更换Windows\System32\rpcss.dll,将原rpcss.dll更换为arpcss.dll,达到劫持RPC服务的目的。。。
当然也许还有其他的现象,我没具体分析。。。


3.18晚7时跟进:=======================
The file 'WindowsXP-KB978262-x86-CHS.exe' has been determined to be 'MALWARE'.
Our analysts named the threat DR/Exxp.502. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates.

小红伞已定义病毒并加入了病毒库,推送更新后就可以检测到此病毒了。。。
目前其他上市的杀毒软件都无能为力。。。
至于那些报告为可疑程序的了,是因为该更新的的数字签名被破坏,才有消息告知,如果感染的是没有数字签名的程序,估计就直接pass!


==============华丽的分割线=================
在论坛 IllusionWing 的帮助下,为我定制了一个修复工具,也可以说是专杀工具(我的软件恢复有望!),再次表示强烈的感谢!敬礼!!!

回复

举报

sololp 该用户已被删除
发表于 2010-3-18 09:38:58 | 显示全部楼层
to panda
回复

举报

幸福的猪猪
发表于 2010-3-18 09:46:04 | 显示全部楼层
本帖最后由 幸福的猪猪 于 2010-3-18 10:31 编辑

样本上报卡巴斯基安全实验室。

[KLAN-65419331]  时   间:2010年3月18日(星期四) 上午9:48
Hello,

This message has been generated by the automated submission tracking system. If we already detect these files, the message below tells you how we identify this threat. Your submission will be passed to a virus analyst.

WindowsXP-KB978262-x86-CHS.exe

This file is being processed.

Best regards, Kaspersky Lab


附上两个在沙盘运行之后,提取到的可疑文件。(样本也已经上报卡巴斯基安全实验室)

[KLAN-65420020]   时   间:2010年3月18日(星期四) 上午10:26
Hello,

This message has been generated by the automated submission tracking system. If we already detect these files, the message below tells you how we identify this threat. Your submission will be passed to a virus analyst.

ed1aca - Trojan.Win32.Agent.doxf
jax[1].exe - Trojan.Win32.Vilsel.xbd

New malicious software was found in this file. The next antivirus database update will include detection for this malware. Thank you for your help.

Best regards, Kaspersky Lab
回复

举报

無爱
发表于 2010-3-18 09:49:23 | 显示全部楼层
to avira
回复

举报

老妖静
发表于 2010-3-18 09:55:16 | 显示全部楼层
无语
回复

举报

chxking
 楼主| 发表于 2010-3-18 10:16:06 | 显示全部楼层
上报给瑞星和毒霸竟然都说是安全文件,我晕死。。。

他们难道都不运行测试下的吗?
回复

举报

chen月
发表于 2010-3-18 10:17:50 | 显示全部楼层
本帖最后由 chen月 于 2010-3-18 10:20 编辑

to MicroPoint
回复

举报

chxking
 楼主| 发表于 2010-3-18 10:24:20 | 显示全部楼层
东方微点刚上报了。。。
回复

举报

chxking
 楼主| 发表于 2010-3-18 10:38:14 | 显示全部楼层
现在360杀毒也说是无毒的文件了。。。。
回复

举报

chxking
 楼主| 发表于 2010-3-18 11:13:17 | 显示全部楼层
谢谢 幸福的猪猪 ,希望卡巴能查杀此病毒。。。

我的1TB的软件仓库,至少有30%的受到感染。。。
完美的是希望杀软能清除病毒,并还原到原始的状态(估计不可能)。。。
至少能查出哪些安装文件被感染了,让我好重新去下载。。。
回复

举报

下一页 »
12345678910... 11下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-6 20:05 , Processed in 0.126644 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表