微点交流论坛

标题: 新的MSN传播类病毒，似乎过了我同事的微点 [打印本页]

作者: pikachu30 时间: 2007-12-19 16:59 标题: 新的MSN传播类病毒，似乎过了我同事的微点

具体情况及样本见
http://bbs.deepin.org/read.php?tid=490190

同时，样本已经在主页那里上报了，请技术人员查验。
绝大多数杀毒软件均未查出来。

VirSCAN.org Scanned Report :
Scanned time : 2007/12/19 16:42:51 (CST)
Scanner results: 8%的杀软(3/36)报告发现病毒
File Name    : virus_no_name pass MP.zip
File Size    : 22457 byte
File Type    : Zip archive data, at least v1.0 to extract
MD5          : f44e98579b93e8948b6eed9bc1b57afc
SHA1          : 2d942f4fbb1ec0525caba65071aa2a2f2e386d18
Online report  : http://virscan.org/report/b1375c97a530e74a440aba7bf7bd05aa.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    3.0.0.126    2007.12.18       2007-12-18  5.01 -
安博士V3    2007.12.18.01 2007.12.18       2007-12-18  1.57 -
AntiVir       7.6.0.45       7.0.1.119       2007-12-19  11.18  -
Arcavir       1.0.4          200712182123    2007-12-18  8.64 -
AVAST       1.0.8          071218-0       2007-12-18  11.33  -
AVG          7.5.49.442    269.17.1/1183    2007-12-13  7.78 -
BitDefender 7.60825.960482  7.16382          2007-12-19  12.91  -
CA (VET)    9.0.0.143    31.3.5387       2007-12-19  10.45  -
ClamAV       0.91.2       5177             2007-12-19  0.02 -
Comodo       2.11          2.0.0.378       2007-12-19  1.48 -
CP Secure    1.1.0.655    2007.12.19       2007-12-19  17.22  -
Dr.WEB       4.44.0.9170    2007.12.19       2007-12-19  11.16  -
ewido       4.0.0.2       2007.12.18       2007-12-18  9.32 -
F-PROT       4.4.1.52       20071218       2007-12-18  2.42 -
F-SECURE    5.51.6100    2007.12.19.01    2007-12-19  3.02 -
飞塔          2.81-3.11    8.449          2007-12-03  0.34 -
ViRobot       20071218       2007.12.18       2007-12-18  0.66 -
IKARUS       T3.1.01.15    2007.12.19.70014  2007-12-19  1.73 -
江民杀毒    10.00.650    2007.12.18       2007-12-18  2.20 -
卡巴斯基    5.5.10       2007.12.19       2007-12-19  13.05  -
金山毒霸    2007.6.20.249 2007.12.19       2007-12-19  0.97 -
迈克菲       5.2.00       5188             2007-12-18  2.70 -
MKS_VIR       2.01          2007.12.18       2007-12-18  3.67 -
NOD32       2.70.10       2732             2007-12-19  0.07 -
NORMAN       5.91.08       5.90             2007-12-17  34.85  -
熊猫卫士    9.04.03.0001 2007.12.19       2007-12-19  3.85 Suspicious file
趋势          8.500-1001    4.896.06       2007-12-18  0.04 WORM_AGENT.AFIF
Prevx       V2             20071219       2007-12-19  5.74 -
QuickHeal    9.00          2007.12.18       2007-12-18  8.02 -
瑞星          19.0          20.23.20.00    2007-12-19  2.85 Backdoor.Win32.PBot.b
SOPHOS       2.49.1       4.21             2007-12-19  8.62 -
赛门铁克    1.3.0.24       20071218.007    2007-12-18  0.18 -
nProtect    2007-12-19.00 1094933          2007-12-19  5.04 -
The Hacker    6.2.9          v00164          2007-12-18  1.37 -
VBA32       3.12.2.5       20071218.1224    2007-12-18  3.14 -
VirusBuster 4.3.19:9       9.117.6/11.0    2007-12-18  3.38 -

作者: freedom11 时间: 2007-12-19 17:40
已经有人测试过了呀，直接干掉!后门是过不了微点的 :P:P

Quote:

深度ID:a393310872
干掉!后门怎么可能过微点捏....除非不用API....哈哈

5分钟前的...还热滴实机测试...不开影子.....

用微点就得有这点胆量!

如图所示：

附件 1: 11.jpg (2007-12-19 17:40, 26.35 K,下载次数： 51)

作者: johnchu 时间: 2007-12-19 17:44
卡巴斯基 5.5.10 2007.12.19 2007-12-19 13.05 -
迈克菲 5.2.00 5188 2007-12-18 2.70 -
其他的不可了解，但这两个很熟，为什么测试的时候老喜欢拿古董出来呢，测试只用古董的话，要创新干什么？
无聊.....

作者: johnchu 时间: 2007-12-19 17:48

Quote:

Originally posted by freedom11 at 2007-12-19 17:40:
已经有人测试过了呀，直接干掉!后门是过不了微点的 :P:P

如图所示：

斑竹，人家楼主说“似乎过了微点”诶，你怎么又说过不了呢

作者: freedom11 时间: 2007-12-19 17:54

Quote:

Originally posted by johnchu at 2007-12-19 17:48:

斑竹，人家楼主说“似乎过了微点”诶，你怎么又说过不了呢

有网友已经拿样本测试证实了没有过微点呀，看清楚哦

:lol::cool::cool::mad::mad:

作者: david1126103 时间: 2007-12-19 18:13
最好将你同事的微点日志发上来看下

作者: pikachu30 时间: 2007-12-19 20:03
我发现是因为我同事给我发消息中有附件，我知道她装了微点（我装上去的，是试用版），所以我非常奇怪为什么她还在给我发附件，因此迅速关掉其电脑（就在我一步之遥），在安全模式下，把发现的这个附件搞出来后，再手工去清掉其注册表中一个奇怪的启动项，再删掉WINDOWS目录里的那个ZIP文件。但从其电脑表现看，的确是中招了，否则不可能向别人传文件。传了很多人。

作者: pikachu30 时间: 2007-12-19 20:07
我记得给我同事设的是自动静默处理,我去看她电脑上的反映时,发现360提示那个什么device.exe试图加入自启动,询问是否阻止.但那时,其MOUSE已经不太能动了,于是我就强行关掉其电脑了.
我已经将MP6文件夹打包在主页那里上传上去了.

作者: pikachu30 时间: 2007-12-19 20:10
我自己试过这个病毒,的确弹出2楼所示的拦截窗口(我自己用预升级版).但360仍报device.exe试图加入自启动.同时,在系统进程中出现了device.exe。如果不信，我现在就试。我现在在家里的台式机旁，装的是试用版。设置为自动静默处理。且安装有360safe

[ Last edited by pikachu30 on 2007-12-19 at 20:15 ]

作者: pikachu30 时间: 2007-12-19 20:14
嘿嘿，好消息，成功拦截了！
时间处理结果木马名称木马进程名木马文件创建者
2007-12-19 20:14:24 处理成功未知木马 C:\WINDOWS\DEVICES.EXE C:\DOCUMENTS AND SETTINGS\THUNDERBIRD\LOCAL SETTINGS\TEMP\RAR$DI00.123\IMG2007-12.JPEG.SCR
2007-12-19 20:14:21 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\THUNDERBIRD\LOCAL SETTINGS\TEMP\RAR$DI00.123\IMG2007-12.JPEG.SCR C:\PROGRAM FILES\WINRAR\WINRAR.EXE

微点主动防御软件试用版
程序版本： 1.2.10571.0168
特征版本： 1.6.535.071217
更新时间： 2007-12-17 16:53:49

版权所有 (C) 2005-2007 Micropoint Corporation

作者: pikachu30 时间: 2007-12-19 20:16
我想起来了，我同事运行了两次那个SCR文件，会不会是第二次运行时出了问题。这是她后来告诉我的。不过，明天上班，我去把她电脑上的日志导出来。

作者: 点饭的百度空间 时间: 2007-12-19 22:16 标题: 12月10日的微点未升过级

（mp.071212.1.2.10571.0168.r1.exe）
微点主动防御软件预升级
程序版本： 1.2.10571.0168
特征版本： 1.6.528.071210
更新时间： 2007-12-10 17:09:48安装包

创建时间键名称原数据新数据创建者
2007-12-19 22:03:53 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ SYSTEM DEVICE DEVICES.EXE F:\IMG2007-12.JPEG.SCR

[ Last edited by 点饭的百度空间 on 2007-12-19 at 22:17 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn