微点交流论坛

标题: 预升级版比测试版反应慢？ [打印本页]

作者: keai958 时间: 2007-8-26 19:02 标题: 预升级版比测试版反应慢？

同样一个靠U盘传播的小东西，两个版本的微点反应居然有了出人意料的差异

帮人杀毒带回来的样本。

测试：在一台装有企业版诺盾的机器上染毒后（装有系统还原卡以便反复测试），产生有很多启动项（没注意看，应该全部是它创建的），创建有庞大的劫持黑名单，多位置拷贝自身，修改注册表隐藏健值，无法在图形界面下查看有病毒体存在的文件夹（已被设成隐藏属性），打开1秒左右就会被病毒关闭文件夹。诺盾监控关闭，程序最后还会退出，手动无法打开监控

还原系统，先装上测试版微点（好象是8。21号的版本？），未升级，解压病毒样本压缩包，报有木马，不按提示操作，双击病毒提示运行错误。暂停微点，重新解压样本，运行依然有错误。

退出微点令病毒运行起来，再打开微点，提示为一已知木马，按提示操作，病毒的两个进程依旧在运行，导致微点界面很不稳定，极易自动关闭，特别是在执行诊断的时候，直接就关闭了（微点进程貌似没有其他异常），在微点中关闭那两个病毒进程后，微点恢复稳定，诺盾监控经过3分钟左右，终于打开了，此时用dir /s /ah命令查不到病毒体了。

把样本拿到装有预升级版的机器上（硬件配置比前者要高），解压，微点居然没报毒。最后双击样本时才有了如下提示，反应有点卡的感觉
程序:
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
木马程序生成以下文件:
1) D:\TEST\病毒样本\SPPKOLR.EXE
2) C:\PROGRAM FILES\COMMON FILES\SYSTEM\VNSBKNP.EXE
3) C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\LLBPUKK.EXE
是否删除木马程序及其衍生物?

按提示操作后未发现明显异常，但winrar程序被微点破坏了，重装winrar，微点报木马，选择不删除后才能安装并运行

我不解的是：预升级版应该比测试版功能更强吧，为什么反应却不如测试版？

我现在把样本提供上来，后缀应为.rar，现改成了.jpeg，超版收到后请屏蔽掉，以免有人误运行

请勿在论坛上传样本，有样本请发送至 virus@micropoint.com.cn

[ Last edited by Legend on 2007-8-26 at 19:15 ]

作者: Legend 时间: 2007-8-26 19:54
2台机子的微点版本分别是？（你测试当时的版本）

2台机子的操作系统版本分别是？

作者: keai958 时间: 2007-8-26 20:19

Quote:

Originally posted by Legend at 2007-8-26 19:54:
2台机子的微点版本分别是？（你测试当时的版本）

2台机子的操作系统版本分别是？

装诺盾的测试机器装的为测试版微点 "8月2日,发布新安装包(mp.070802.1.2.10570.0157.r1.exe) "

另一台机器上装的为预升级版，版本，嗯，已经升级过好几次了（目前为最新），之前和现在的版本都一直对那个解压的病毒没反应

都为XP sp2系统，系统补丁第一台好象打至了6月份，第二台打全了补丁

不过我刚又重启机器试了下，能在解压时报出病毒了，有点哭笑不得的感觉。希望我这只是个案

作者: Legend 时间: 2007-8-26 20:37
解压就报是报出“病毒名”的已经病毒吗？

作者: keai958 时间: 2007-8-27 00:23

Quote:

Originally posted by Legend at 2007-8-26 20:37:
解压就报是报出“病毒名”的已经病毒吗？

我记得测试版可以报出一个已知的木马名字
又试了下，预升级版在解压时：

木马名称:未知木马

程序:
D:\TEST\病毒样本\SPPKOLR.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

选不删除，然后运行程序，卡5秒后提示：

程序:
E:\TOOL\WINRAR.EXE
木马程序生成以下文件:
1) C:\PROGRAM FILES\WINRAR\UNINSTALL.EXE
2) C:\PROGRAM FILES\WINRAR\UNRAR.EXE
3) C:\PROGRAM FILES\WINRAR\WINCON.SFX
4) C:\PROGRAM FILES\WINRAR\WINRAR.EXE
5) F:\TEST\病毒样本\SPPKOLR.EXE
6) C:\PROGRAM FILES\COMMON FILES\SYSTEM\VNSBKNP.EXE
7) C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\LLBPUKK.EXE
8) C:\PROGRAM FILES\WINRAR\ZIP.SFX
9) C:\PROGRAM FILES\WINRAR\FORMATS\7Z.FMT
10) C:\PROGRAM FILES\WINRAR\FORMATS\7ZXA.DLL
11) C:\PROGRAM FILES\WINRAR\FORMATS\ACE.FMT
12) C:\PROGRAM FILES\WINRAR\FORMATS\ARJ.FMT
13) C:\PROGRAM FILES\WINRAR\FORMATS\BZ2.FMT
14) C:\PROGRAM FILES\WINRAR\FORMATS\CAB.FMT
15) C:\PROGRAM FILES\WINRAR\FORMATS\GZ.FMT
16) C:\PROGRAM FILES\WINRAR\FORMATS\ISO.FMT
17) C:\PROGRAM FILES\WINRAR\FORMATS\LZH.FMT
18) C:\PROGRAM FILES\WINRAR\FORMATS\TAR.FMT
19) C:\PROGRAM FILES\WINRAR\FORMATS\UNACEV2.DLL
20) C:\PROGRAM FILES\WINRAR\FORMATS\UUE.FMT
21) C:\PROGRAM FILES\WINRAR\FORMATS\Z.FMT
22) C:\PROGRAM FILES\WINRAR\DEFAULT.SFX
23) C:\PROGRAM FILES\WINRAR\RAR.EXE
24) C:\PROGRAM FILES\WINRAR\RAREXT.DLL
25) C:\PROGRAM FILES\WINRAR\RAREXTLOADER.EXE
是否删除木马程序及其衍生物?

选删除后20秒左右提示：

程序:
C:\PROGRAM FILES\WINRAR\RAREXT.DLL
删除失败!

延迟删除文件!

作者: keai958 时间: 2007-8-27 00:26
看样子这是个能感染EXE文件的木马，有点麻烦了，呵呵

作者: Legend 时间: 2007-8-27 17:35
请楼主将winrar目录压缩后发送至virus@micropoint.com.cn，发送邮件时请复制本帖链接，便于我们跟踪处理您的问题，谢谢。

作者: 100000 时间: 2007-8-27 22:05
可能微点不认识你的那个winrar版本

作者: Legend 时间: 2007-8-31 15:07
没有收到楼主的邮件，请楼主重新发送
此帖锁贴，如有问题请另行开贴
感谢楼主对微点的支持！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn