xiaotuzi
中级用户
积分 347
发帖 345
注册 2007-9-1
|
#1 微点的喜与忧!
请看我在卡饭的帖子!
http://bbs.kafan.cn/thread-564765-1-1.html
微点没有更新病毒定义就能这两个病毒!
再看这个帖子!
http://bbs.kafan.cn/thread-563132-1-1.html
微点没有对1003.exe作出任何反应,结果自然是我机子中了木马!几天后微点更新了才能杀!
我想说的是:微点对很多未知木马只有更新才能杀!主动防御为何没有动作?
这是不是微点的软肋!很多的木马在微点上市以来只有靠更新才能识别!这样的木马是不是特别厉害躲过了微点的主动防御!还是微点在处理这类木马有不足之处!但是我们看到在这个帖子的回复里ESETNOD32启发出特洛伊木马的变种!
是不是微点主动防御对付这种木马没有办法只有更新病毒定义了!
[ Last edited by xiaotuzi on 2009-9-30 at 15:41 ]
| |
※ ※ ※ 本文纯属【xiaotuzi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点应该向主动防御智能化进军
金奖银奖不如网民的夸奖
金杯银杯不如网民的口碑
西方有微软东方有微点 |
|
|
2009-9-30 15:38 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2009-9-30 15:58 |
|
jackybaby
中级用户
积分 330
发帖 321
注册 2006-12-31
来自 sz
|
#3
如果木马有新的行为方式,那的确要更新行为库才能防范。不过想一个新行为其实挺难的。 具体到你的例子,第一个已经报警了,不应该放过。 第二个看它的动作就是往PF文件夹烤个可执行文件,微点认为没到犯罪的地步,具体要看这个文件最后要做什么。你可以上报微点做具体分析。
| |
※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点+组策略,不知毒滋味。 |
|
|
|
2009-9-30 16:05 |
|
xiaotuzi
中级用户
积分 347
发帖 345
注册 2007-9-1
|
#4
样文件可以给您!但是我重装了系统,微点的技术支持信息还能用么?
| |
※ ※ ※ 本文纯属【xiaotuzi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点应该向主动防御智能化进军
金奖银奖不如网民的夸奖
金杯银杯不如网民的口碑
西方有微软东方有微点 |
|
|
|
2009-9-30 16:38 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2009-9-30 16:52 |
|
xiaotuzi
中级用户
积分 347
发帖 345
注册 2007-9-1
|
#6
提交日期:2009年10月1日,1时38分00秒
Processing time: 7 min 45 sec处理申请时间:7分45秒
Submitted sample:提交样本:
File MD5: 0xEEC532C1EE9833E03E68FF5529A3227D文件的MD5:0xEEC532C1EE9833E03E68FF5529A3227D
File SHA-1: 0xE27EB22EA6D16208D60359422E1AE1B629E02DAD文件的SHA - 1:0xE27EB22EA6D16208D60359422E1AE1B629E02DAD
Filesize: 26,685 bytes文件大小:26685字节
Alias & packer info:别名及包装信息:
Downloader 下载器 [Symantec] [赛门铁克]
Trojan-Downloader.Win32.Esplor.ey [Kaspersky Lab]木马- Downloader.Win32.Esplor.ey [卡巴斯基]
Generic Downloader.x!bhv [McAfee]通用Downloader.x!疱疹病毒[迈克菲]
Mal/Packer 马尔/包装 [Sophos] [Sophos公司]
HackTool.Win32.PHPWind HackTool.Win32.PHPWind [Ikarus] [依卡路斯]
packed with: FSG [Kaspersky Lab] 挤满了:FSG的[卡巴斯基]
Summary of the findings:调查结果摘要:
What's been found最新发现 Severity Level严重级别
Downloads/requests other files from Internet.从互联网下载/要求的其他文件。
Contains characteristics of an identified security risk.包含一个发现的安全风险特征。
Technical Details:技术细节:
Possible Security Risk可能的安全风险
Attention! Characteristics of the following security risk was identified in the system:下面的安全风险注意!特点,确定了系统:
Security Risk安全风险 Description描述
Trojan-PWS.OnlineGames.AHRG 木马,PWS.OnlineGames.AHRG Trojan-PWS.OnlineGames.AHRG attempts to steal password information associated to various online games.木马- PWS.OnlineGames.AHRG试图窃取密码信息相关的各种网络游戏。
Attention! The following threat category was identified: 注意:下面的威胁类别被确定:
Threat Category威胁分类 Description描述
A program that downloads files to the local computer that may represent security risk一种程序,下载文件到本地计算机上,可能代表的安全风险
File System Modifications文件系统修改
The following files were created in the system:下列文件是在系统中创建:
# # Filename(s)文件名(拧) File Size文件大小 File Hash文件哈希 Alias别名
1 1 %ProgramFiles%\[filename of the sample #1] %程序文件%\ [样本#1文件名]
[file and pathname of the sample #1] [文件和路径名样品#1] 26,685 bytes 26685字节 MD5: 0xEEC532C1EE9833E03E68FF5529A3227D的MD5:0xEEC532C1EE9833E03E68FF5529A3227D
SHA-1: 0xE27EB22EA6D16208D60359422E1AE1B629E02DAD SHA - 1的:0xE27EB22EA6D16208D60359422E1AE1B629E02DAD Downloader 下载器 [Symantec] [赛门铁克]
Trojan-Downloader.Win32.Esplor.ey [Kaspersky Lab]木马- Downloader.Win32.Esplor.ey [卡巴斯基]
Generic Downloader.x!bhv [McAfee]通用Downloader.x!疱疹病毒[迈克菲]
Mal/Packer 马尔/包装 [Sophos] [Sophos公司]
HackTool.Win32.PHPWind HackTool.Win32.PHPWind [Ikarus] [依卡路斯]
packed with FSG [Kaspersky Lab] 挤满了 FSG的[卡巴斯基实验室]
2 2 %ProgramFiles%\ vstart.exe %程序文件%\ vstart.exe 57,344 bytes 57,344字节 MD5: 0xAE79678659B33181AF2175DC7A7B97E3的MD5:0xAE79678659B33181AF2175DC7A7B97E3
SHA-1: 0xA06200336BDEA267E40B8EDD7852099D9110685D SHA - 1的:0xA06200336BDEA267E40B8EDD7852099D9110685D Trojan-Downloader.Win32.VB.rpn [Kaspersky Lab]木马- Downloader.Win32.VB.rpn [卡巴斯基]
Generic Downloader.x!bii [McAfee]通用Downloader.x!想着[迈克菲]
HackTool.Win32.PHPWind HackTool.Win32.PHPWind [Ikarus] [依卡路斯]
Note:注:
%ProgramFiles% is a variable that refers to the Program Files folder. %程序文件%是一个变量,指的是Program Files文件夹。 A typical path is C:\Program Files.一个典型的路径是C:\ Program Files文件。
Memory Modifications内存修改
There were new processes created in the system:有在系统中创建新的流程:
Process Name进程名称 Process Filename进程文件名 Main Module Size主要模块尺寸
[filename of the sample #1] [文件样本#1] %ProgramFiles%\[filename of the sample #1] %程序文件%\ [样本#1文件名] 131,072 bytes 131,072字节
vstart.exe vstart.exe %ProgramFiles%\ vstart.exe %程序文件%\ vstart.exe 61,440 bytes 61,440字节
The following system services were modified:下面的系统服务被修改:
Service Name服务名称 Display Name显示名称 New Status新状态 Service Filename服务文件名
ALG alg的 Application Layer Gateway Service应用层网关服务 "Stopped" “停止” %System%\ alg.exe %系统%\ alg.exe
SharedAccess SharedAccess的 Windows Firewall/Internet Connection Sharing (ICS) Windows防火墙/ Internet连接共享(ICS) "Stopped" “停止” %System%\svchost.exe -k netsvcs %系统%\ Svchost.exe的,亩netsvcs
Notes:注释:
%System% is a variable that refers to the System folder. %System%是一个变量,指的是系统文件夹。 By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).默认情况下,这是C:\的Windows \ System(Windows 95/98/Me的)是C:\ Winnt \ System32中(Windows NT/2000的),或C:\的Windows \ System32(Windows XP中)。
Registry Modifications注册表修改
The following Registry Values were modified:以下注册表值被修改:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent] [HKEY_LOCAL_MACHINE \系统\ ControlSet001 \控制\ ServiceCurrent]
(Default) = (默认)=
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent] [HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\ ServiceCurrent]
(Default) = (默认)=
Other details其他细节
Analysis of the file resources indicate the following possible country of origin:文件资源的分析表明了以下可能的原产国:
China中国
The following port was open in the system:以下端口是开放的制度:
Port港口 Protocol协议 Process工艺
1054 1054 UDP UDP数据 [filename of the sample #1] (%ProgramFiles%\[filename of the sample #1]) [文件样本#1](%程序文件%\ [样本#1文件名])
There was registered attempt to establish connection with the remote host.有注册试图建立与远程主机连接。 The connection details are:连接的详细信息如下:
Remote Host远程主机 Port Number端口号
61.174.59.9 61.174.59.9 80 80
The data identified by the following URLs was then requested from the remote web server:以下网址列出的数据,然后要求从远程Web服务器:
http://youword.cn/msn333/count.a ... C:5D:EC&ver=1.0 http://youword.cn/msn333/count.a ... C:5D:EC&ver=1.0
http://youword.cn/addown3/cpa.txt http://youword.cn/addown3/cpa.txt
| |
※ ※ ※ 本文纯属【xiaotuzi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
微点应该向主动防御智能化进军
金奖银奖不如网民的夸奖
金杯银杯不如网民的口碑
西方有微软东方有微点 |
|
|
|
2009-10-1 23:08 |
|
ywfox2008
新手上路
积分 7
发帖 7
注册 2009-3-6
|
#7
主动防御不是万能的,所以大家最好也别抱着主动防御万能论。
建议微点加强主动防御内部规则的继续深度优化。
| |
※ ※ ※ 本文纯属【ywfox2008】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-10-6 12:05 |
|
599308102
新手上路
积分 1
发帖 1
注册 2009-10-6
|
#8
就是 不可能装杀毒软件 就不中毒 样本报给人家 人家修补这个漏洞 才能做的更好
| |
※ ※ ※ 本文纯属【599308102】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-10-6 17:08 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
#9
楼主您好,您给我们发送的样本文件我们已经分析
文件名:1003.exe
结果:该程序分析如下:
病毒运行后,释放一个批处理文件到C:\Program Files\705.5475.bat,并执行,通过执行该批处理文件,将1003.exe主程序拷贝到C:\Program Files\1003.exe运行,然后删除病毒主程序,之后运行C:\Program Files\1003.exe,该程序执行后,会释放一个文件到C:\Program Files\vstart.exe,并执行vstart.exe。执行后,会从以下网络地址下载5个程序到本地运行,下载完成后,执行这些程序,将为用户自动安装以下程序:Wps、风行网络电影、Zcom杂志订阅器(会安装Google工具栏),Avant Browser浏览器、PP加速器、九听、查查看、悠视。目的是安装工具广告,刷流量和作推广。
微点没报警原因:
微点是以程序行为危害性来判断是否主动拦截,该病毒从释放文件到执行再到网络下载,所有的行为都是普通应用程序所具有的动作,比如:释放文件,执行程序,安装程序、访问网络等等。而网络下载的行为也只是利用预先保存在配置文件中的网址去自动读取下载,而下载下来的程序却都是国内正规公司的产品,所以,整个流程就相当于它自动帮用户下载并安装了一系列广告和工具条。而没有对用户系统本身造成恶意破坏,所以,微点因为行为条件不满足主动拦截条件而没有触发拦截操作。
文件名: BAIDUTOOLBAR[1].EXE
结果:该程序运行后,会修改注册表,使用户无法查看隐藏文件,并且反部分主流杀毒软件,释放病毒程序并加载,实现自启动运行,未升级到最新版本微点报发现未知木马。病毒名: Trojan.Win32.Agent.bcpi
文件名: QQPLUS.EXE
结果:经测试,该程序与BAIDUTOOLBAR[1].EXE属于同一程序 请参看BAIDUTOOLBAR[1].EXE分析结果。
文件名:SETUP.EXE
结果:该文件是”鲁大师”安装程序,经测试,属于正常程序。
此主题暂做关闭处理,如有其它问题请另开新帖讨论,感谢楼主的反馈。
[ Last edited by Legend on 2009-10-10 at 10:30 ]
| |
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|
|
2009-10-10 10:29 |
|
