中木马了，at1.job，avast居然没报毒？

foocp

最近发现计划人物中有许多At1.jobAt2.job
At3.job
一直到At30.job的任务，奇怪avast居然没发现？上网查了下，就行这个流氓！


  2010年6月9日，安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首
页为www.4555.net或[url=www.2548.cn]www.2548.cn[/url]的顽固样本，当此样本运行后会弹出一个http://www.4555.net/?in的页面(如
图1)，在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件（如图2、
3、4.），具体分析如下：

图1.

图2.

图3.

图4.

样本描述：

该流氓软件样本文件为一个包裹，可用7z直接打开或解包（如图5.），此包裹文件内多为BAT批处理文件和

VBS脚本文件，此包裹文件运行后会批量运行包裹文件内部的批处理和VBS脚本文件,脚本行为如下：

将winare.vbs写入启动项（如图6.）

拷贝自身到C:\Program Files\WinWare目录下（如图7.）

写入多个计划任务（如图8.）

图5.

图6.

图7.

图8.

本地文件行为：（释放文件）

c:\Documents and Settings\Administrator\Recent\winare.vbs.lnk c:\Documents and Settings\Administrator\Recent\启动.lnk c:\Documents and Settings\Administrator\桌面\Internet Exploror.lnk c:\Documents and Settings\All Users\「开始」菜单\程序\启动\winare.vbs c:\Documents and Settings\Administrator\Application Data\Microsoft\ Internet Explorer\Quick Launch\Internet Exploror.lnk c:\Program Files\Windows\360SE.vbs c:\Program Files\Windows\36OSE.vbs c:\Program Files\WinWare\360.cmd c:\Program Files\WinWare\360SE.vbs c:\Program Files\WinWare\361.cmd c:\Program Files\WinWare\36OSE.vbs c:\Program Files\WinWare\36O安全刘览器? 3.lnk c:\Program Files\WinWare\36O安全刘览器?3.lnk c:\Program Files\WinWare\Internet Exploror.lnk c:\Program Files\WinWare\tool.cmd c:\Program Files\WinWare\winare.vbs c:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX1\mi.exe c:\Documents and Settings\Administrator\Local Settings\Temp\0_37a.exe c:\Documents and Settings\Administrator\Local Settings\Temp\0_MiguMusic6.exe Settings\Temp\0_YoudaoDict_zhusha_quantui_004.exe c:\WINDOWS\Tasks\At10.job c:\WINDOWS\Tasks\At11.job c:\WINDOWS\Tasks\At12.job c:\WINDOWS\Tasks\At13.job c:\WINDOWS\Tasks\At14.job c:\WINDOWS\Tasks\At15.job c:\WINDOWS\Tasks\At16.job c:\WINDOWS\Tasks\At17.job c:\WINDOWS\Tasks\At18.job c:\WINDOWS\Tasks\At19.job c:\WINDOWS\Tasks\At2.job c:\WINDOWS\Tasks\At20.job c:\WINDOWS\Tasks\At21.job c:\WINDOWS\Tasks\At22.job c:\WINDOWS\Tasks\At23.job c:\WINDOWS\Tasks\At24.job c:\WINDOWS\Tasks\At25.job c:\WINDOWS\Tasks\At26.job c:\WINDOWS\Tasks\At27.job c:\WINDOWS\Tasks\At28.job c:\WINDOWS\Tasks\At29.job c:\WINDOWS\Tasks\At3.job c:\WINDOWS\Tasks\At30.job c:\WINDOWS\Tasks\At31.job c:\WINDOWS\Tasks\At32.job c:\WINDOWS\Tasks\At33.job c:\WINDOWS\Tasks\At34.job c:\WINDOWS\Tasks\At35.job c:\WINDOWS\Tasks\At36.job c:\WINDOWS\Tasks\At37.job c:\WINDOWS\Tasks\At38.job c:\WINDOWS\Tasks\At39.job c:\WINDOWS\Tasks\At4.job c:\WINDOWS\Tasks\At40.job c:\WINDOWS\Tasks\At41.job c:\WINDOWS\Tasks\At42.job c:\WINDOWS\Tasks\At43.job c:\WINDOWS\Tasks\At44.job c:\WINDOWS\Tasks\At45.job c:\WINDOWS\Tasks\At46.job c:\WINDOWS\Tasks\At47.job c:\WINDOWS\Tasks\At48.job c:\WINDOWS\Tasks\At49.job c:\WINDOWS\Tasks\At5.job c:\WINDOWS\Tasks\At50.job c:\WINDOWS\Tasks\At51.job c:\WINDOWS\Tasks\At52.job c:\WINDOWS\Tasks\At6.job c:\WINDOWS\Tasks\At7.job c:\WINDOWS\Tasks\At8.job c:\WINDOWS\Tasks\At9.job

wwdboy

楼主上报吧

网之龙

个人认为，这不仅仅是avast的问题，相当一部分杀毒软件对脚本病毒木马确实防御性有待加强。如果楼主用的是avast免费版，那是没有脚本防御模块的，只有靠其文件监控和行为分析来防范，如果这都被穿透了，那肯定中招。
楼主只贴了图，但没有上传样本文件，所以还不能肯定是木马还只是流氓恶意程序。如只是流氓恶意程序，由于不具有病毒木马的完全特征，有些杀毒软件也会无视的。

414447992

杀软对付流氓还是力不从心的，加个卫士吧

BitDefender

可以理解 天朝软件就是这样的 最好搭配清理助手这类的软件

foocp

avast全盘扫么发现啥，
还有360，不过我一直没开，刚才扫了一遍，也么发现。

liuzhengyoulzy

杀毒软件不是万能的，加个辅杀吧。

北方星空

又是downback的东西，这个下载银行有些东西很不干净

yjh000

虽说有小a，我还是让这类流氓软件钻了好几回空子。这玩意看似人畜无害，但是实在是恶心人。还是加个国产的卫士之类的辅助清理一下比较好

雨的感觉

加一个本土的辅助软件好一些，金山卫士或数字