可疑的星诺网络电视珍藏版v3.0，求行为分析！！

剑舞江南

这个是前几天在下载区看到的一个软件，当时下载后，360、小红伞、小A等全部报告病毒，好像是其中一个名为USP10.dll的文件所引起，当时就有人说是木马。在影子系统下解压缩包后，这个USP10.dll的文件会自动消失，很是诡异。在线检测结果如下（包含USP10.dll文件）：

VirSCAN.org Scanned Report :
Scanned time   : 2011/05/13 17:00:30 (CST)
Scanner results: 43%的杀软(16/37)报告发现病毒
File Name      : 星诺网络电视珍藏版3.0 ok-qiu作品0507.rar
File Size      : 392777 byte
File Type      : RAR archive data, v1d, os
MD5            : 3cf91645731d494514336505f5d5196c
SHA1           : ce7d679bbbdd3903418d6ed15b277089350caac7
Online report  : http://file.virscan.org/report/5cb4fa7fc2da196b315ab46c90b3b0e4.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110513030714    2011-05-13  40.12  -
安博士V3       2011.05.10.00   2011.05.10        2011-05-10  40.09  -
AntiVir        8.2.4.228       7.11.8.2          2011-05-13  0.34   TR/Hijacker.Gen
安天           2.0.18          20110205.7694535  2011-02-05  0.02   -
Arcavir        2011            201105080215      2011-05-08  0.18   Trojan.Xih.Amg
Authentium     5.1.1           201105122226      2011-05-12  2.40   W32/OnlineGames.DB.gen!Eldorado (Possible)
AVAST!         4.7.4           110512-1          2011-05-12  0.09   Win32:Lmir-KB [Trj]
AVG            8.5.850         271.1.1/3634      2011-05-13  0.80   Downloader.Generic9.BNRR
BitDefender    7.90123.7303894 7.37452           2011-05-13  5.95   Trojan.Generic.3593632
ClamAV         0.96.5          13075             2011-05-13  0.07   -
Comodo         4.0             8680              2011-05-12  40.09  -
CP Secure      1.3.0.5         2011.05.13        2011-05-13  0.27   -
Dr.Web         5.0.2.3300      2011.05.13        2011-05-13  12.73  Trojan.PWS.Gamania.28476
F-Prot         4.4.4.56        20110512          2011-05-12  2.41   W32/OnlineGames.DB.gen!Eldorado (generic, not disinfectable)
F-Secure       7.02.73807      2011.05.13.02     2011-05-13  14.32  Trojan-GameThief.Win32.WOW.ymt [AVP]
飞塔           4.2.257         13.215            2011-05-12  40.09  -
GData          22.307/22.90    20110511          2011-05-11  40.09  -
ViRobot        20110512        2011.05.12        2011-05-12  40.09  -
Ikarus         T3.1.32.20.0    ..1.32.20.0.      --1.32.20.0 0.01   -
江民杀毒       13.0.900        2011.05.11        2011-05-11  40.09  -
卡巴斯基       5.5.10          2011.05.12        2011-05-12  0.77   Trojan-GameThief.Win32.WOW.ymt
金山毒霸       2009.2.5.15     2011.5.13.9       2011-05-13  40.09  -
迈克菲         5400.1158       6340              2011-05-08  9.81   Generic Downloader.x!dow
Microsoft      1.6802          2011.05.12        2011-05-12  40.09  -
NOD32          3.0.21          6108              2011-05-09  0.21   Win32/PSW.Legendmir.NIC trojan
Norman         6.07.08         6.07.00           2011-05-12  18.02  -
熊猫卫士       9.05.01         2011.05.10        2011-05-10  40.10  -
趋势科技       9.200-1012      8.154.04          2011-05-12  0.12   TSPY_GAMETHI.B
Quick Heal     11.00           2011.05.13        2011-05-13  40.10  -
瑞星           20.0            23.57.03.05       2011-05-12  40.09  -
Sophos         3.19.1          4.65              2011-05-13  3.71   Mal/Agent-PY
Sunbelt        3.9.2492.2      9238              2011-05-09  40.09  -
赛门铁克       1.3.0.24        20110512.002      2011-05-12  8.09   Trojan.Gen
nProtect       20110512.01     3449022           2011-05-12  40.09  -
The Hacker     6.7.0.1         v00176            2011-04-18  40.14  -
VBA32          3.12.16.0       20110511.2137     2011-05-11  5.50   Trojan.Xih.amg
VirusBuster    5.2.0.28        13.6.351.0/51625772011-05-12  0.00   -

去掉USP10.dll文件后，检测结果明显不同：
VirSCAN.org Scanned Report :
Scanned time   : 2011/05/13 10:16:40 (CST)
Scanner results: 19%的杀软(7/37)报告发现病毒
File Name      : 星诺网络电视珍藏版v3.0.rar
File Size      : 321230 byte
File Type      : RAR archive data, v1d, os
MD5            : 389f5309c9f6f0149368f061cd8bec3f
SHA1           : 105ee8d213081f2008e534246f40fd2f249e9e35
Online report  : http://file.virscan.org/report/5234684151a7c61f5826f89eff790b99.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110513030714    2011-05-13  40.09  -
安博士V3       2011.05.10.00   2011.05.10        2011-05-10  40.09  -
AntiVir        8.2.4.228       7.11.7.254        2011-05-12  0.37   -
安天           2.0.18          20110205.7694535  2011-02-05  0.02   -
Arcavir        2011            201105080215      2011-05-08  0.18   Trojan.Xih.Amg
Authentium     5.1.1           201105121935      2011-05-12  2.54   -
AVAST!         4.7.4           110512-1          2011-05-12  0.08   -
AVG            8.5.850         271.1.1/3634      2011-05-13  0.83   Win32/Virut.Z
BitDefender    7.90123.7299232 7.37449           2011-05-13  6.02   -
ClamAV         0.96.5          13074             2011-05-12  0.09   -
Comodo         4.0             8680              2011-05-12  40.09  -
CP Secure      1.3.0.5         2011.05.13        2011-05-13  0.21   -
Dr.Web         5.0.2.3300      2011.05.13        2011-05-13  12.95  -
F-Prot         4.4.4.56        20110512          2011-05-12  2.63   -
F-Secure       7.02.73807      2011.05.12.08     2011-05-12  13.93  -
飞塔           4.2.257         13.215            2011-05-12  40.09  -
GData          22.307/22.90    20110511          2011-05-11  40.13  -
ViRobot        20110512        2011.05.12        2011-05-12  40.11  -
Ikarus         T3.1.32.20.0    ..1.32.20.0.      --1.32.20.0 0.01   -
江民杀毒       13.0.900        2011.05.11        2011-05-11  40.10  -
卡巴斯基       5.5.10          2011.05.12        2011-05-12  0.64   -
金山毒霸       2009.2.5.15     2011.5.13.9       2011-05-13  40.09  -
迈克菲         5400.1158       6340              2011-05-08  9.75   -
Microsoft      1.6802          2011.05.12        2011-05-12  40.10  -
NOD32          3.0.21          6108              2011-05-09  0.23   -
Norman         6.07.08         6.07.00           2011-05-12  16.02  W32/Smalltroj.VYNQ
熊猫卫士       9.05.01         2011.05.10        2011-05-10  40.10  -
趋势科技       9.200-1012      8.152.16          2011-05-12  0.20   TROJ_SPNR.03CL11
Quick Heal     11.00           2011.05.12        2011-05-12  40.10  -
瑞星           20.0            23.57.03.05       2011-05-12  40.19  -
Sophos         3.19.1          4.65              2011-05-13  9.31   Mal/Agent-PY
Sunbelt        3.9.2492.2      9238              2011-05-09  40.36  -
赛门铁克       1.3.0.24        20110512.002      2011-05-12  0.84   Trojan.Gen
nProtect       20110512.01     3449022           2011-05-12  40.09  -
The Hacker     6.7.0.1         v00176            2011-04-18  40.09  -
VBA32          3.12.16.0       20110511.2137     2011-05-11  5.06   Trojan.Xih.amg
VirusBuster    5.2.0.28        13.6.351.0/51625772011-05-12  0.00   -
看来很可疑，特此提请高手作一个行为分析，特别是针对USP10.dll文件。
样本：

3801187

BitDefender 2011

此网页已被BitDefender反病毒实时防护拦截！

被BitDefender拦截的网页包含（可能）已被病毒感染的对象。您的系统未被 感染。

594157544

毒霸  kill



连解压都不行

aaaaoooo

有毒，360和金山报毒。。。。

bluelily

IKARUS

日期/时间： 2011-5-13 18:06:07
文件名： Usp10.dll
原始路径：
文件大小： 160 KB
病毒名： Trojan-Downloader.Win32.Catinea
建议： 保存与删除
签名ID： 1419194


日期/时间： 2011-5-13 18:06:08
文件名： xlskn.dll
原始路径：
文件大小： 96.92 KB
病毒名： Trojan.Win32.Xih
建议： 保存与删除
签名ID： 36198874

留侯

文件加了殼，大蜘蛛：
=D0=C7=C5=B5=CD=F8=C2=E7=B5=E7=CA=D3\=D0=C7=C5=B5=CD=F8=C2=E7=B5=E7=CA=D3\Usp10.dll found virus Trojan.PWS.Gamania.28476

=D0=C7=C5=B5=CD=F8=C2=E7=B5=E7=CA=D3\=D0=C7=C5=B5=CD=F8=C2=E7=B5=E7=CA=D3\xlnet.dll - archive BINARYRES

=D0=C7=C5=B5=CD=F8=C2=E7=B5=E7=CA=D3\=D0=C7=C5=B5=CD=F8=C2=E7=B5=E7=CA=D3\xlskn.dll packed by RLPACK

njjsxy

kis
   Trojan-GameThief.Win32.WOW.ymt

剑舞江南

回复 6楼 留侯 的帖子

留侯大大，这个文件到底是高度可疑的病毒文件，还是因为加了壳所以被报毒啊？？

留侯

回复 8楼 剑舞江南 的帖子

Usp10.dll found virus Trojan.PWS.Gamania.28476
这个文件非常明确了，应该是一个木马大盗。

其他的两个文件，一个实际上是压缩文件格式，虽然是DLL格式，另一个是加了壳，但是都和USO10.DLL无关的。

剑舞江南

回复 9楼 留侯 的帖子

哦，明白了，谢谢留侯了啊。
话说回来，这个软件作者也太黑了，在软件包里居然加载病毒，这个软件有点邪恶，具体怎样邪恶我就不说了（反正和病毒文件无关，含有非法内容）。一些人为了那点非法内容去下载使用，不被盗号才是怪事呢，所以提醒大家，这个软件用不得！！
还有，国内的杀毒软件居然没有几个查出毒来（好像也就是360和毒霸两家吧），有点可怕！！