运行了个山寨版杀毒软件。

yaohaozhe

运行了个山寨版杀毒软件，本想让他自己解压后提取文件，结果瑞星提示有动作，就结束运行了，有没有人能分析下这个安装程序有没有病毒。。。程序刚解压完毕就让我强制结束了。
瑞星提示inf修改（我自己加装的规则）。。
山寨杀软下载地址：http://ismup2.medusa1375.com:888/setup/31/MedusaSetup.exe

e4500

有了星星你为啥还要明知是水货的月亮呢?

yaohaozhe

仅仅是好奇心趣事，没想到杀软都带毒，这个世界上没有可以信赖的软件了。

e4500

正在上传多引擎扫描.42个杀软才3个报不知是不是误报?http://www.virustotal.com/zh-cn/ ... 482ed343-1268916952

牧羊老汉

到这一步就无法再继续了：






Folders added: 6
--------------------
C:\endp
C:\endp\temp
C:\endp\temp\endpinstall_security
C:\endp\temp\endpinstall_security\endp
C:\endp\temp\endpinstall_security\endp\bin
C:\endp\temp\endpinstall_security\endp\cache
Files added: 210
--------------------
C:\endp\temp\endpinstall_security\ccLic.dll
C:\endp\temp\endpinstall_security\CliDll.dll
C:\endp\temp\endpinstall_security\convertNTFS.exe
C:\endp\temp\endpinstall_security\Csetup.ini
C:\endp\temp\endpinstall_security\agentid.ini
C:\endp\temp\endpinstall_security\EndpInstall.exe
C:\endp\temp\endpinstall_security\iccLic.dll
C:\endp\temp\endpinstall_security\NotsafetySoftlist.tdldb
C:\endp\temp\endpinstall_security\safetySoftlist.tdldb
C:\endp\temp\endpinstall_security\mdsmd5.ini
C:\endp\temp\endpinstall_security\endpup.txt
C:\endp\temp\endpinstall_security\endp\bin\endpfileSpy.exe
C:\endp\temp\endpinstall_security\endp\bin\frame_endp_activate.exe
C:\endp\temp\endpinstall_security\endp\bin\frame_endp_switch.exe
C:\endp\temp\endpinstall_security\endp\bin\lockfile.exe
C:\endp\temp\endpinstall_security\endp\bin\MedusaEndp.exe
C:\endp\temp\endpinstall_security\endp\bin\psapi.dll
C:\endp\temp\endpinstall_security\endp\bin\setfile_one.exe
C:\endp\temp\endpinstall_security\endp\bin\spoolsu.exe
C:\endp\temp\endpinstall_security\endp\bin\spoolsw.exe
C:\endp\temp\endpinstall_security\endp\cache\antiarp_model.txt
C:\endp\temp\endpinstall_security\endp\cache\AnyFileDel.sys
C:\endp\temp\endpinstall_security\endp\cache\audstub.sys
C:\endp\temp\endpinstall_security\endp\cache\auto_repair.txt
C:\endp\temp\endpinstall_security\endp\cache\auto_repair_security.txt
C:\endp\temp\endpinstall_security\endp\cache\BindGatewayMac.exe
C:\endp\temp\endpinstall_security\endp\cache\BindGatewayMACUI.exe
C:\endp\temp\endpinstall_security\endp\cache\business_model.txt
C:\endp\temp\endpinstall_security\endp\cache\CaMessage_defeat.exe
C:\endp\temp\endpinstall_security\endp\cache\CaMessage_success.exe
C:\endp\temp\endpinstall_security\endp\cache\ccenter.dll
C:\endp\temp\endpinstall_security\endp\cache\ccfilemon.sys
C:\endp\temp\endpinstall_security\endp\cache\ccLic.dll
C:\endp\temp\endpinstall_security\endp\cache\ccmanager_killpid.exe
C:\endp\temp\endpinstall_security\endp\cache\ccMedusab1.sys
C:\endp\temp\endpinstall_security\endp\cache\ccmippost.ini
C:\endp\temp\endpinstall_security\endp\cache\CCPatchClient.exe
C:\endp\temp\endpinstall_security\endp\cache\Ceshi.ini
C:\endp\temp\endpinstall_security\endp\cache\check_time.txt
C:\endp\temp\endpinstall_security\endp\cache\CliDll.dll
C:\endp\temp\endpinstall_security\endp\cache\ComDll.dll
C:\endp\temp\endpinstall_security\endp\cache\CompanyURL.ini
C:\endp\temp\endpinstall_security\endp\cache\ConfigInfo.ini
C:\endp\temp\endpinstall_security\endp\cache\ConvertFileSystem_all.exe
C:\endp\temp\endpinstall_security\endp\cache\convertNTFS.exe
C:\endp\temp\endpinstall_security\endp\cache\DelShareRes.exe
C:\endp\temp\endpinstall_security\endp\cache\diiInagent.exe
C:\endp\temp\endpinstall_security\endp\cache\diiNoinoutagent.exe
C:\endp\temp\endpinstall_security\endp\cache\diionewayServer.exe
C:\endp\temp\endpinstall_security\endp\cache\diioutagent.exe
C:\endp\temp\endpinstall_security\endp\cache\diistructServer.exe
C:\endp\temp\endpinstall_security\endp\cache\downAutohc.exe
C:\endp\temp\endpinstall_security\endp\cache\downClient_down.exe
C:\endp\temp\endpinstall_security\endp\cache\downClient_exit.exe
C:\endp\temp\endpinstall_security\endp\cache\DownConfig.ini
C:\endp\temp\endpinstall_security\endp\cache\DUMPBIN.EXE
C:\endp\temp\endpinstall_security\endp\cache\dxgthk.sys
C:\endp\temp\endpinstall_security\endp\cache\endpInfo.exe
C:\endp\temp\endpinstall_security\endp\cache\EndpUnist.exe
C:\endp\temp\endpinstall_security\endp\cache\endpversion.ini
C:\endp\temp\endpinstall_security\endp\cache\Execendpversion.tdlexe
C:\endp\temp\endpinstall_security\endp\cache\filetime.ini
C:\endp\temp\endpinstall_security\endp\cache\filetran.dll
C:\endp\temp\endpinstall_security\endp\cache\FILEVXD.VXD
C:\endp\temp\endpinstall_security\endp\cache\frameActiv.exe
C:\endp\temp\endpinstall_security\endp\cache\frameActive.exe
C:\endp\temp\endpinstall_security\endp\cache\frameEndp.exe
C:\endp\temp\endpinstall_security\endp\cache\fSkinDll1.dll
C:\endp\temp\endpinstall_security\endp\cache\FtpLogServer.exe
C:\endp\temp\endpinstall_security\endp\cache\gpresult_2000.exe
C:\endp\temp\endpinstall_security\endp\cache\gpupdate.exe
C:\endp\temp\endpinstall_security\endp\cache\iccLic.dll
C:\endp\temp\endpinstall_security\endp\cache\InstDrv.exe
C:\endp\temp\endpinstall_security\endp\cache\instlsp.exe
C:\endp\temp\endpinstall_security\endp\cache\instlxp.exe
C:\endp\temp\endpinstall_security\endp\cache\internet_model.txt
C:\endp\temp\endpinstall_security\endp\cache\iphist.dat
C:\endp\temp\endpinstall_security\endp\cache\ipRev.exe
C:\endp\temp\endpinstall_security\endp\cache\ipsock.exe
C:\endp\temp\endpinstall_security\endp\cache\IsmAddressList.txt
C:\endp\temp\endpinstall_security\endp\cache\IsmUpAddressList.txt
C:\endp\temp\endpinstall_security\endp\cache\kesnap.exe
C:\endp\temp\endpinstall_security\endp\cache\KHS.exe
C:\endp\temp\endpinstall_security\endp\cache\KillProc.exe
C:\endp\temp\endpinstall_security\endp\cache\kill_fire.exe
C:\endp\temp\endpinstall_security\endp\cache\kill_sys.exe
C:\endp\temp\endpinstall_security\endp\cache\libsnmp.dll
C:\endp\temp\endpinstall_security\endp\cache\LINK.EXE
C:\endp\temp\endpinstall_security\endp\cache\listdll_98_NT.exe
C:\endp\temp\endpinstall_security\endp\cache\lockcfg.exe
C:\endp\temp\endpinstall_security\endp\cache\lockfile.dll
C:\endp\temp\endpinstall_security\endp\cache\lockfile.exe
C:\endp\temp\endpinstall_security\endp\cache\lockport.exe
C:\endp\temp\endpinstall_security\endp\cache\lockService.exe
C:\endp\temp\endpinstall_security\endp\cache\lockTcpip.exe
C:\endp\temp\endpinstall_security\endp\cache\lockTcpPort.exe
C:\endp\temp\endpinstall_security\endp\cache\lockTcpport.txt
C:\endp\temp\endpinstall_security\endp\cache\lockUdpPort.exe
C:\endp\temp\endpinstall_security\endp\cache\lockudpport.txt
C:\endp\temp\endpinstall_security\endp\cache\log.txt
C:\endp\temp\endpinstall_security\endp\cache\loginAddress.txt
C:\endp\temp\endpinstall_security\endp\cache\loginAddressList.txt
C:\endp\temp\endpinstall_security\endp\cache\loginspy.dll
C:\endp\temp\endpinstall_security\endp\cache\loginusermonitor.exe
C:\endp\temp\endpinstall_security\endp\cache\logonsessions.exe
C:\endp\temp\endpinstall_security\endp\cache\medusa.chm
C:\endp\temp\endpinstall_security\endp\cache\MedusaCcRegMon.sys
C:\endp\temp\endpinstall_security\endp\cache\medusaCheck.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaEndp.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaEndpUp.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaFile.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaFileM.sys
C:\endp\temp\endpinstall_security\endp\cache\MedusaFmon.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaNo1.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaProc.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaProcM.sys
C:\endp\temp\endpinstall_security\endp\cache\MedusaReg.exe
C:\endp\temp\endpinstall_security\endp\cache\MedusaRegsys.sys
C:\endp\temp\endpinstall_security\endp\cache\medusa_killpid.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg1.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg10.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg11.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg12.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg2.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg4.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg5.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg6.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg7.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg8.exe
C:\endp\temp\endpinstall_security\endp\cache\mfcmsg9.exe
C:\endp\temp\endpinstall_security\endp\cache\MFCO42D.DLL
C:\endp\temp\endpinstall_security\endp\cache\modRegister.exe
C:\endp\temp\endpinstall_security\endp\cache\msmpu401.sys
C:\endp\temp\endpinstall_security\endp\cache\MSPDB60.DLL
C:\endp\temp\endpinstall_security\endp\cache\mtftpclient.dll
C:\endp\temp\endpinstall_security\endp\cache\myTrans.dll
C:\endp\temp\endpinstall_security\endp\cache\NETAPI.DLL
C:\endp\temp\endpinstall_security\endp\cache\NewlSP.dll
C:\endp\temp\endpinstall_security\endp\cache\NewlSP2000.dll
C:\endp\temp\endpinstall_security\endp\cache\NTFSconvert.exe
C:\endp\temp\endpinstall_security\endp\cache\null.sys
C:\endp\temp\endpinstall_security\endp\cache\OldiccLic.dll
C:\endp\temp\endpinstall_security\endp\cache\OperService.exe
C:\endp\temp\endpinstall_security\endp\cache\opInterActive.ocx
C:\endp\temp\endpinstall_security\endp\cache\Patch_config.ini
C:\endp\temp\endpinstall_security\endp\cache\Pipelist.exe
C:\endp\temp\endpinstall_security\endp\cache\portMap.exe
C:\endp\temp\endpinstall_security\endp\cache\procList.ini
C:\endp\temp\endpinstall_security\endp\cache\procSystemM.exe
C:\endp\temp\endpinstall_security\endp\cache\proc_bin1.exe
C:\endp\temp\endpinstall_security\endp\cache\proc_bin2.exe
C:\endp\temp\endpinstall_security\endp\cache\proc_bin3.exe
C:\endp\temp\endpinstall_security\endp\cache\proc_setAutoReport_flag.txt
C:\endp\temp\endpinstall_security\endp\cache\Ps.exe
C:\endp\temp\endpinstall_security\endp\cache\Psaccount.exe
C:\endp\temp\endpinstall_security\endp\cache\Psapi.Dll
C:\endp\temp\endpinstall_security\endp\cache\pscheckDll.exe
C:\endp\temp\endpinstall_security\endp\cache\recover.reg
C:\endp\temp\endpinstall_security\endp\cache\REGSYS.SYS
C:\endp\temp\endpinstall_security\endp\cache\REGVXD.VXD
C:\endp\temp\endpinstall_security\endp\cache\restrat_explore.exe
C:\endp\temp\endpinstall_security\endp\cache\rmclhook.dll
C:\endp\temp\endpinstall_security\endp\cache\rmclthrd.dll
C:\endp\temp\endpinstall_security\endp\cache\route.dll
C:\endp\temp\endpinstall_security\endp\cache\route.exe
C:\endp\temp\endpinstall_security\endp\cache\routemon.exe
C:\endp\temp\endpinstall_security\endp\cache\SafetyClientId.tdldb
C:\endp\temp\endpinstall_security\endp\cache\sc.exe
C:\endp\temp\endpinstall_security\endp\cache\scanreg.exe
C:\endp\temp\endpinstall_security\endp\cache\sec_account.inf
C:\endp\temp\endpinstall_security\endp\cache\Set.ini
C:\endp\temp\endpinstall_security\endp\cache\setfile_one.exe
C:\endp\temp\endpinstall_security\endp\cache\shareCr.exe
C:\endp\temp\endpinstall_security\endp\cache\shareCw.exe
C:\endp\temp\endpinstall_security\endp\cache\ShareMg.exe
C:\endp\temp\endpinstall_security\endp\cache\ShowSellMessage.exe
C:\endp\temp\endpinstall_security\endp\cache\sigcheck.exe
C:\endp\temp\endpinstall_security\endp\cache\snmp.exe
C:\endp\temp\endpinstall_security\endp\cache\snmpd.exe
C:\endp\temp\endpinstall_security\endp\cache\Sporder.Dll
C:\endp\temp\endpinstall_security\endp\cache\statusfiletime.ini
C:\endp\temp\endpinstall_security\endp\cache\swenum.sys
C:\endp\temp\endpinstall_security\endp\cache\syslogService.exe
C:\endp\temp\endpinstall_security\endp\cache\SysOptimize.exe
C:\endp\temp\endpinstall_security\endp\cache\tcp.dll
C:\endp\temp\endpinstall_security\endp\cache\tdlSetup.exe
C:\endp\temp\endpinstall_security\endp\cache\tdlUnSetup.exe
C:\endp\temp\endpinstall_security\endp\cache\temp.mdb
C:\endp\temp\endpinstall_security\endp\cache\testDrivers.exe
C:\endp\temp\endpinstall_security\endp\cache\tlist.exe
C:\endp\temp\endpinstall_security\endp\cache\TPS.exe
C:\endp\temp\endpinstall_security\endp\cache\traceroute.exe
C:\endp\temp\endpinstall_security\endp\cache\Transput.dll
C:\endp\temp\endpinstall_security\endp\cache\Unist.ini
C:\endp\temp\endpinstall_security\endp\cache\unlockService.exe
C:\endp\temp\endpinstall_security\endp\cache\unlockTcpip.exe
C:\endp\temp\endpinstall_security\endp\cache\UnSafe.dll
C:\endp\temp\endpinstall_security\endp\cache\unSetacl_cpl.exe
C:\endp\temp\endpinstall_security\endp\cache\Unwise.exe
C:\endp\temp\endpinstall_security\endp\cache\Update.ini
C:\endp\temp\endpinstall_security\endp\cache\Versiondata.bak
C:\endp\temp\endpinstall_security\endp\cache\Versiondata.tdldb
C:\endp\temp\endpinstall_security\endp\cache\vport_r.dll
C:\endp\temp\endpinstall_security\endp\cache\wsock2_2000.reg
C:\endp\temp\endpinstall_security\endp\cache\wsock2_2003.reg
C:\endp\temp\endpinstall_security\endp\cache\wsock2_vista.reg
C:\endp\temp\endpinstall_security\endp\cache\wsock2_xp.reg
C:\WINDOWS\temp\install_scan.txt
C:\WINDOWS\temp\install_scan_file.txt
C:\WINDOWS\System32\CatRoot2\dberr.txt

Files modified:
--------------------
C:\WINDOWS\System32\CatRoot2\edb.chk
C:\WINDOWS\System32\CatRoot2\edb.log
C:\WINDOWS\System32\CatRoot2\tmp.edb
C:\WINDOWS\System32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

fatezero

美杜莎

yaohaozhe

感谢楼上的同学了。。。
没装hips，仅有个半残废的瑞星。安装过程中瑞星报毒，看来这个程序在system下还是有动作的。。
那请问有没有注册表动作和写内存动作呢？

牧羊老汉

Kis2010全程跟踪安装，创建了那么多的.exe和.DLL文件，没有一个报警。

e4500

骗钱的?就算没毒也不会有人用吧?

牧羊老汉

感谢楼上的同学了。。。
没装hips，仅有个半残废的瑞星。安装过程中瑞星报毒，看来这个程序在system下还是 ...
yaohaozhe 发表于 2010-3-18 21:06

注册表肯定有，好象没有写内存，但访问磁盘底层、访问互联网