微点交流论坛

标题: 问两个问题 [打印本页]

作者: 霜华千里 时间: 2010-7-3 16:36 标题: 问两个问题

电脑装的是微点主防跟微点杀毒，前几天用杀毒查出一个病毒文件，导出日志，发给客服邮箱。
时间                病毒名称                               处理结果    病毒路径/木马地址
2010/06/30 21:01:36 Trojan-PSW.Win32.OnLineGames.iga       删除失败    D:\软件\大话西游OnlineII\dbghelp.ini
-------------------------------------------
成功导出的日志数： 1 条

这个是微点杀毒软件的扫描日志，附件是杀毒软件误报的大话西游的文件，麻烦你们研究一下

然后微点客服给了回复如下
尊敬的用户，您好！
您的邮件已经收到，感谢您及时联系微点客户服务人员！该文件为病毒文件，不属于误报，感谢您的反馈。

注释：

PE文件：Win32环境下的可移植执行体。

dll文件：动态链接库文件，由其它程序调用，单独无法运行。

已损坏的PE文件：经第三方程序修改或人为造成文件损坏。

非PE格式的病毒文件：泛指网页木马、脚本病毒、宏病毒、恶意代码等。

非病毒文件：不含有恶意代码的文件。
=========================
查出的病毒文件是大话西游2的文件，我还是不明白，为什么她是病毒文件呢?
被查出来的大话文件部分内容是：
          Lp Dp <p 4p ,p $p [魔界]  [地界]  [人界]  [天界]  [推荐]  [未知]  %04X %02X r 0 DH2 %s  %d  网络嗅探器.exe  1 s.obj ' 文字='  %s_%d%s .jpg \    User32.dll  Process32Next Process32First  CreateToolhelp32Snapshot / //  %s%s .jpeg ReadFile error %s
[ 大话西  等待破解 FLW HOOK 出错侰
Kernel32.dll SearchMemoryAddress 异常 WinInet UFU                                                                                                          ??1?22>2G2q22???p3?,4????E5u5????????? 686I6j6?�647?7u7€7???8B8M8Z8h8v8????????????
999#919;9A9S9t9??????�9
:::$:,:3:8:=:B:H:U:]:??;0;F;k;??7<v<????�<-=i=t=??    {2G5o5?
66????777J7Z7`7n7|7??????88B8m8v8~8????????????999'919G9U9f9w9?????
这个大话文件我打开看都是这样的乱码

还有，我买了正版的主防，领取了正版的杀毒序列号，并且都注册使用了。为什么主防老是弹出那个叫人领取微点杀毒正版序列号的对话框呢？

[ Last edited by 霜华千里 on 2010-7-3 at 16:38 ]

作者: Legend 时间: 2010-7-3 16:45
楼主您好，如果您对此文件的分析结果有疑问，您可以将此样本文件发送至virus@micropoint.com.cn 邮箱，我们将重新测试分析。
对于领取微点杀毒软件序列号的这个活动，等段时间将不会在显示了，给您带来的不便敬请谅解。

作者: 霜华千里 时间: 2010-7-3 17:16

我说版主呀，怎么微点杀毒跟金山急救箱还分工合作啊，微点查出来一个，金山查出来两个。
这次微点把那个大话的病毒文件给删了，上次没删除掉

作者: Legend 时间: 2010-7-3 17:20
感谢楼主的再次反馈，楼主可以将金山急救箱扫描出来的样本发送至virus@micropoint.com.cn邮箱，随信请附带本贴链接，会有专人进行分析测试。

作者: 霜华千里 时间: 2010-7-3 17:32

好吧，我答应你。
金山急救箱没有导出日志的功能，我把两个文件还原了，然后发给你们邮箱了。
你们要中了病毒可不要怪我。
还有，我发现你好像不是技术人员，只是个普通客服人员。

作者: Legend 时间: 2010-7-3 17:38
感谢楼主的再次反馈，关于楼主反馈的问题，virus邮箱将把分析结果回复至您的发件邮箱当中，请楼主关注我们回复的邮件。感谢楼主对微点的支持。

作者: littlefritz 时间: 2010-7-4 00:44
楼主看到过多少病毒不是乱码的？晕。病毒都是经过处理的，怎么可能让普通人知道他想做什么呢？另外，上传到virus邮箱，反病毒工程师会分析您提交的样本，也不会中毒，请放心。

作者: 可恶的梦 时间: 2010-7-4 11:25
好深奥的问题

作者: 霜华千里 时间: 2010-7-4 13:35

Quote:

Originally posted by littlefritz at 2010-7-4 00:44:
楼主看到过多少病毒不是乱码的？晕。病毒都是经过处理的，怎么可能让普通人知道他想做什么呢？另外，上传到virus邮箱，反病毒工程师会分析您提交的样本，也不会中毒，请放心。

人家是学中文的，又不是专业人士嘛，人家只喜欢看漂亮姑娘，不喜欢看病毒代码嘛。
我还想问一下，病毒文件当作附件发送的时候，我用的是网易邮箱，网易用卡巴斯基杀毒引擎对附件扫描，会不会附件发到半路的时候，就被卡巴一扫描，给干掉了?再说了，医生都会生病呢，反病毒工程师怎么就不能中病毒了呢？哼~

作者: netsaga 时间: 2010-7-4 19:50
亲爱的.经过个人观察你那个.INI文件,还有金山报告的那两个病毒问题.我想给出以下猜想和解释:
RUN.EXE
只运行一次.EXE
dbghelp.ini

这三个文件应该怎么说呢,应该是一个互相配合的病毒.
只运行一次.EXE的作用大概来说是写注册表启动一类的.目的是将RUN.EXE写到启动项

RUN.EXE的作用呢.应该是用来启动dbghelp.ini文件的

dbghelp.ini文件.有相关系统经验的人都知道这不是一个正常的INI文件应该有的内容.我们分析以下dbghelp.ini这个文件.

[魔界]  [地界]  [人界]  [天界]  [推荐]  [未知]  %04X %02X r 0 DH2 %s  %d  网络嗅探器.exe  1 s.obj ' 文字='  %s_%d%s .jpg \    User32.dll  Process32Next Process32First  CreateToolhelp32Snapshot / //  %s%s .jpeg ReadFile error %s
[ 大话西  等待破解 FLW HOOK 出错侰
这段代码.应该说说开头那几个是大话系统中类似门派的东西吧.

网络嗅探器.exe  1 s.obj ' 文字='  %s_%d%s .jpg 这个网络嗅探器我不知道是要命名某个文件.还是这个程序通过Process32Next Process32First函数来检测防止有人嗅探它发送出去的信息.

[ 大话西  等待破解 FLW HOOK 出错侰这句话大概说吧.要不就是发送出去的文件头或者是通过上面的嗅探获取游戏账号信息.里面的.JPG不知道是不是大话这个游戏有密保卡的功能??没玩过

SearchMemoryAddress 明显是通过内存搜索获取游戏信息.........

总结下:dbghelp.ini 这个文件应该是某个组合式病毒的一个实际盗号功能程序伪装.然后有RUN.EXE来运行它. dbghelp.ini通过网络嗅探.进程对比.内存搜索.桌面抓图等等功能来盗号...........

结论:这玩意咋看都不是一个INI文件...................

作者: netsaga 时间: 2010-7-4 19:51
关于楼主说的.反病毒工程师中毒............想说一下几点

1:楼主知道虚拟机和沙盘吗？
2:楼主知道一些病毒会有发作条件吗?

作者: 霜华千里 时间: 2010-7-4 23:10

Quote:

Originally posted by netsaga at 2010-7-4 19:50:
亲爱的.经过个人观察你那个.INI文件,还有金山报告的那两个病毒问题.我想给出以下猜想和解释:
RUN.EXE
只运行一次.EXE
dbghelp.ini

这三个文件应该怎么说呢,应该是一个互相配合的病毒.
只运行一次.EXE的作 ...

亲爱的，感谢你的关注。可是你猜想错误。
我忘了说了， dbghelp.ini 这个文件在电脑里面应该有一段时间了，大话装在D盘，我是最近查出来她的。
RUN.EXE
只运行一次.EXE
这两个文件，是我昨天从网上下了一个深度版本的XP系统，装上后，用金山急救箱扫描出来的。这两个跟那一个没关系的。
不管怎样，小弟还是深情地感谢你的关注。

作者: 霜华千里 时间: 2010-7-4 23:15

Quote:

Originally posted by netsaga at 2010-7-4 19:51:
关于楼主说的.反病毒工程师中毒............想说一下几点

1:楼主知道虚拟机和沙盘吗？
2:楼主知道一些病毒会有发作条件吗?

亲爱的，人家已经说了，人家不是专业人士。所以，你不要揪着人家小辫子不放嘛。
答：1.我知道虚拟机和沙盘，但是我没意料到反病毒工程师会机灵到在虚拟机中测试病毒文件。
2.我知道一些病毒会有发作条件，但是谁能保证反病毒工程师摸到的病毒不会发作呢？

作者: netsaga 时间: 2010-7-5 17:20
............看了楼主的回答。我无语凝噎. [没意料到反病毒工程师会机灵到在虚拟机中测试病毒文件], 事实上说虚拟机和沙盘也只是一个猜想.应该来说,反病毒工程师都是有专用的系统和软件来分析病毒的。这个问题我们一般都不用担心.而且.我想工程师要这个代码。也很有可能会故意中毒来分析病毒文件的一些行为.

猜错了.很遗憾.呵呵.但是那个INI文件确实是一个病毒应该是不可争辩的事实！楼主可以修改扩展名后看看........

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn