微点交流论坛 - 预升级反馈专区 - 预升级版比测试版反应慢？

keai958
注册用户

积分 118
发帖 118
注册 2007-7-27

#1 预升级版比测试版反应慢？

同样一个靠U盘传播的小东西，两个版本的微点反应居然有了出人意料的差异

帮人杀毒带回来的样本。

测试：在一台装有企业版诺盾的机器上染毒后（装有系统还原卡以便反复测试），产生有很多启动项（没注意看，应该全部是它创建的），创建有庞大的劫持黑名单，多位置拷贝自身，修改注册表隐藏健值，无法在图形界面下查看有病毒体存在的文件夹（已被设成隐藏属性），打开1秒左右就会被病毒关闭文件夹。诺盾监控关闭，程序最后还会退出，手动无法打开监控

还原系统，先装上测试版微点（好象是8。21号的版本？），未升级，解压病毒样本压缩包，报有木马，不按提示操作，双击病毒提示运行错误。暂停微点，重新解压样本，运行依然有错误。

退出微点令病毒运行起来，再打开微点，提示为一已知木马，按提示操作，病毒的两个进程依旧在运行，导致微点界面很不稳定，极易自动关闭，特别是在执行诊断的时候，直接就关闭了（微点进程貌似没有其他异常），在微点中关闭那两个病毒进程后，微点恢复稳定，诺盾监控经过3分钟左右，终于打开了，此时用dir /s /ah命令查不到病毒体了。

把样本拿到装有预升级版的机器上（硬件配置比前者要高），解压，微点居然没报毒。最后双击样本时才有了如下提示，反应有点卡的感觉
程序:
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
木马程序生成以下文件:
1) D:\TEST\病毒样本\SPPKOLR.EXE
2) C:\PROGRAM FILES\COMMON FILES\SYSTEM\VNSBKNP.EXE
3) C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\LLBPUKK.EXE
是否删除木马程序及其衍生物?

按提示操作后未发现明显异常，但winrar程序被微点破坏了，重装winrar，微点报木马，选择不删除后才能安装并运行

我不解的是：预升级版应该比测试版功能更强吧，为什么反应却不如测试版？

我现在把样本提供上来，后缀应为.rar，现改成了.jpeg，超版收到后请屏蔽掉，以免有人误运行

请勿在论坛上传样本，有样本请发送至 virus@micropoint.com.cn

[ Last edited by Legend on 2007-8-26 at 19:15 ]

※ ※ ※ 本文纯属【keai958】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-26 19:02

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

2台机子的微点版本分别是？（你测试当时的版本）

2台机子的操作系统版本分别是？

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-8-26 19:54

keai958
注册用户

积分 118
发帖 118
注册 2007-7-27

Quote:

Originally posted by Legend at 2007-8-26 19:54:
2台机子的微点版本分别是？（你测试当时的版本）

2台机子的操作系统版本分别是？

装诺盾的测试机器装的为测试版微点 "8月2日,发布新安装包(mp.070802.1.2.10570.0157.r1.exe) "

另一台机器上装的为预升级版，版本，嗯，已经升级过好几次了（目前为最新），之前和现在的版本都一直对那个解压的病毒没反应

都为XP sp2系统，系统补丁第一台好象打至了6月份，第二台打全了补丁

不过我刚又重启机器试了下，能在解压时报出病毒了，有点哭笑不得的感觉。希望我这只是个案

※ ※ ※ 本文纯属【keai958】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-26 20:19

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

解压就报是报出“病毒名”的已经病毒吗？

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-8-26 20:37

keai958
注册用户

积分 118
发帖 118
注册 2007-7-27

Quote:

Originally posted by Legend at 2007-8-26 20:37:
解压就报是报出“病毒名”的已经病毒吗？

我记得测试版可以报出一个已知的木马名字
又试了下，预升级版在解压时：

木马名称:未知木马

程序:
D:\TEST\病毒样本\SPPKOLR.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

选不删除，然后运行程序，卡5秒后提示：

程序:
E:\TOOL\WINRAR.EXE
木马程序生成以下文件:
1) C:\PROGRAM FILES\WINRAR\UNINSTALL.EXE
2) C:\PROGRAM FILES\WINRAR\UNRAR.EXE
3) C:\PROGRAM FILES\WINRAR\WINCON.SFX
4) C:\PROGRAM FILES\WINRAR\WINRAR.EXE
5) F:\TEST\病毒样本\SPPKOLR.EXE
6) C:\PROGRAM FILES\COMMON FILES\SYSTEM\VNSBKNP.EXE
7) C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\LLBPUKK.EXE
8) C:\PROGRAM FILES\WINRAR\ZIP.SFX
9) C:\PROGRAM FILES\WINRAR\FORMATS\7Z.FMT
10) C:\PROGRAM FILES\WINRAR\FORMATS\7ZXA.DLL
11) C:\PROGRAM FILES\WINRAR\FORMATS\ACE.FMT
12) C:\PROGRAM FILES\WINRAR\FORMATS\ARJ.FMT
13) C:\PROGRAM FILES\WINRAR\FORMATS\BZ2.FMT
14) C:\PROGRAM FILES\WINRAR\FORMATS\CAB.FMT
15) C:\PROGRAM FILES\WINRAR\FORMATS\GZ.FMT
16) C:\PROGRAM FILES\WINRAR\FORMATS\ISO.FMT
17) C:\PROGRAM FILES\WINRAR\FORMATS\LZH.FMT
18) C:\PROGRAM FILES\WINRAR\FORMATS\TAR.FMT
19) C:\PROGRAM FILES\WINRAR\FORMATS\UNACEV2.DLL
20) C:\PROGRAM FILES\WINRAR\FORMATS\UUE.FMT
21) C:\PROGRAM FILES\WINRAR\FORMATS\Z.FMT
22) C:\PROGRAM FILES\WINRAR\DEFAULT.SFX
23) C:\PROGRAM FILES\WINRAR\RAR.EXE
24) C:\PROGRAM FILES\WINRAR\RAREXT.DLL
25) C:\PROGRAM FILES\WINRAR\RAREXTLOADER.EXE
是否删除木马程序及其衍生物?

选删除后20秒左右提示：

程序:
C:\PROGRAM FILES\WINRAR\RAREXT.DLL
删除失败!

延迟删除文件!

※ ※ ※ 本文纯属【keai958】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-27 00:23

keai958
注册用户

积分 118
发帖 118
注册 2007-7-27

#6

看样子这是个能感染EXE文件的木马，有点麻烦了，呵呵

※ ※ ※ 本文纯属【keai958】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-27 00:26

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#7

请楼主将winrar目录压缩后发送至virus@micropoint.com.cn，发送邮件时请复制本帖链接，便于我们跟踪处理您的问题，谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-8-27 17:35

100000
版主

灌水区华南水务使

积分 3285
发帖 3250
注册 2007-2-26
来自深圳

#8

可能微点不认识你的那个winrar版本

※ ※ ※ 本文纯属【100000】个人意见，与【微点交流论坛】立场无关※ ※ ※

日出东方微点先行主动防御快人一步

2007-8-27 22:05

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#9

没有收到楼主的邮件，请楼主重新发送
此帖锁贴，如有问题请另行开贴
感谢楼主对微点的支持！

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-8-31 15:07

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号