微点交流论坛

标题: 非常感谢微点，提供一个木马样本，以及杀软冲突报告 [打印本页]

作者: zerostore 时间: 2006-6-24 16:20 标题: 非常感谢微点，提供一个木马样本，以及杀软冲突报告

我晕，论坛居然不支持rar附件？我发到技术支持邮箱里了:lol:
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
这几天好像是中了网上传说的“落雪”传奇木马，也就是WINLOGON.EXE木马，系统盘出了一大堆木马文件，D盘无法双击打开，虽然也按照网上的办法手工在安全模式下杀了，可惜重新启动之后那些木马文件又回来了，不知道是不是出现了新的变种:(

百般无奈、焦头烂额之下，在网上baidu到了有人推荐微点，安装之后果然非常好，顺利的杀掉了几个木马文件。虽然还有新的文件不停出现，但都能被微点查出，让我非常惊喜。这里把木马文件打个包发上来，希望能对微点的下一步升级有点用处

文件说明：
1 1、2、3、6这几个exe文件是在安装微点之前出现在登录用户临时文件夹内，被微点杀掉后没有再次出现
2 iexplore.dat是在ie目录下，被微点杀掉
3 msinfo.rx是在common files\microsoft shared\msinfo\目录下，虽然被微点查出，但却无法删除，我是在带命令行安全模式下手工删除的
4 ck3和shua这两个exe文件出现在登录用户临时文件夹内，能被微点查出并杀掉。不过每次重新启动后一段时间都会再次出现（就算不上网也会这样，奇怪），幸好每次出现都能被微点发现并及时杀掉（已经很不错了，卡巴斯基、木马杀客、ewido都不能做到）
5 windoern这个exe出现在c盘根目录，被微点识别为“未知间谍软件”，可以杀掉
6 wokaonnd这个exe总是和coomand.hta一起出现在c盘根目录，连接ip是70.87.69.11，每次端口都会更改。微点可以发现它的连接企图并阻止，但并不会删除。手工删除后一段时间（十分钟左右）这两个阴魂不散的文件又会出现，难道是不死鸟:(

另外安装微点前系统经常自动下载好几个exe文件，文件名http://freehost10.websamba.com/jhoin/file10.exe，后面都数字经常变化，不过安装微点后没有出现过

估计目前系统中还有潜藏的木马文件，因为偶尔还能听到系统警报声，甚至是一段音乐（我没开qq，所以肯定不是qq炫铃），而且前面也提到了几个木马文件会反复自动出现，希望微点下次升级能够解决这个问题

杀软冲突报告：微点和我安装的卡巴斯基3.5瑞士版有冲突，同时启动时系统慢如牛爬，每启动一个程序都要等待很长时间，还容易在开机时死机，禁止卡巴斯基的自启动防护后系统基本正常。不过感觉还是比以前慢了一些，微点的内存占用和系统资源消耗方面，还可以继续努力进步，加油:D

呵呵，现在系统运行正常平稳，非常感谢微点。今天申请了微点的预升级用户，希望能够得到批准，见证微点的发展壮大:D

[ Last edited by zerostore on 2006-6-24 at 16:22 ]

作者: Legend 时间: 2006-6-24 16:47
您可以把病毒样本发到virus@micropoint.com.cn，我们会分析原因并加以改进，谢谢您为提高我们产品品质所提供的帮助！
关于“几个木马文件会反复自动出现”方便的话请您详细描述下，具体是哪几个木马文件，微点是如何处理的；
关于“微点和我安装的卡巴斯基3.5瑞士版有冲突，同时启动时系统慢如牛”，已知与微点冲突的卡巴斯基版本为v5.0.237 版，请您把这个“卡巴斯基3.5瑞士版”安装包或者下载链接发给我们测试下；
关于“微点的内存占用和系统资源”微点占用内存应该是在15-20M;
关于“预升级用户的申请”请仔细阅读邮件并及时回复，请耐心等待。
感谢您对微点的支持！

作者: zerostore 时间: 2006-6-24 17:17
你好，样本文件已经发送到virus@micropoint.com.cn。由于雅虎中国的邮箱扫描引擎会拒绝病毒附件，我用163邮箱，不知能否发送成功，请查收

反复出现的木马文件如下：
ck3和shua两个exe文件，出现在登录用户临时文件夹，系统启动后10分钟之内出现，与是否有上网行为无关，可以被微点发现并删除，开机状态下不再出现，但下次重启后又出现
wokaonnd.exe，和coomand.hta共同出现在c盘根目录，连接70.87.69.11。连接可被微点发现并阻止，但并不认为该文件是木马，不进行删除操作。手工删除后一段时间（不定，10分钟左右）又再次出现
WiNdOeRN.exe，和dos.bat以及windowst.hta共同出现在c盘根目录，出现频率不固定，可以被微点发现并删除，但又会再次出现（出现条件及频率不明）

估计目前系统中还有潜藏的木马文件，因为偶尔还能听到系统警报声，甚至是一段音乐（我没开qq，所以肯定不是qq炫铃）

关于杀软的问题：
我提到的卡巴斯基3.5瑞士版下载链接http://xtzx.hyedu.net/uploadfile/rar/2004-11/2004112117595301.rar

这个版本空闲时占用内存300k左右，扫描时5m左右，这也是我使用它的最大原因，节约系统资源（卡巴斯基5.0占用大概10m左右，感觉已经很大了，所以没有使用）。我的内存是512m，如果微点能以20m左右的内存占用提供大部分情况下的系统安全，那还是可以接受的

安装微点之后，启动程序的时候还是能够感觉比之前慢，硬盘要多闪好几秒，不知道是不是微点在扫描，在可能多情况下，请尽量改进

希望越做越好，加油:D

作者: zerostore 时间: 2006-6-24 18:35
后续报告，在windows对system32目录下有一个mshta.exe，删除后会再次出现，微点没有反应

文件已经发送到virus@micropoint.com.cn，请查收

作者: 囚中城 时间: 2006-6-24 20:16
楼主把问题讲的简单明了，支持一下。
微点会在大家的热心支持下会越来越强大滴

作者: United 时间: 2006-6-25 04:08
发附件被查的话就加个密码，在邮件里注明就可以了

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn