微点交流论坛 - 主动防御 - 新的MSN传播类病毒，似乎过了我同事的微点

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 新的MSN传播类病毒，似乎过了我同事的微点

1/2

pikachu30
注册用户

积分 66
发帖 66
注册 2007-6-3

#1 新的MSN传播类病毒，似乎过了我同事的微点

具体情况及样本见
http://bbs.deepin.org/read.php?tid=490190

同时，样本已经在主页那里上报了，请技术人员查验。
绝大多数杀毒软件均未查出来。

VirSCAN.org Scanned Report :
Scanned time : 2007/12/19 16:42:51 (CST)
Scanner results: 8%的杀软(3/36)报告发现病毒
File Name    : virus_no_name pass MP.zip
File Size    : 22457 byte
File Type    : Zip archive data, at least v1.0 to extract
MD5          : f44e98579b93e8948b6eed9bc1b57afc
SHA1          : 2d942f4fbb1ec0525caba65071aa2a2f2e386d18
Online report  : http://virscan.org/report/b1375c97a530e74a440aba7bf7bd05aa.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    3.0.0.126    2007.12.18       2007-12-18  5.01 -
安博士V3    2007.12.18.01 2007.12.18       2007-12-18  1.57 -
AntiVir       7.6.0.45       7.0.1.119       2007-12-19  11.18  -
Arcavir       1.0.4          200712182123    2007-12-18  8.64 -
AVAST       1.0.8          071218-0       2007-12-18  11.33  -
AVG          7.5.49.442    269.17.1/1183    2007-12-13  7.78 -
BitDefender 7.60825.960482  7.16382          2007-12-19  12.91  -
CA (VET)    9.0.0.143    31.3.5387       2007-12-19  10.45  -
ClamAV       0.91.2       5177             2007-12-19  0.02 -
Comodo       2.11          2.0.0.378       2007-12-19  1.48 -
CP Secure    1.1.0.655    2007.12.19       2007-12-19  17.22  -
Dr.WEB       4.44.0.9170    2007.12.19       2007-12-19  11.16  -
ewido       4.0.0.2       2007.12.18       2007-12-18  9.32 -
F-PROT       4.4.1.52       20071218       2007-12-18  2.42 -
F-SECURE    5.51.6100    2007.12.19.01    2007-12-19  3.02 -
飞塔          2.81-3.11    8.449          2007-12-03  0.34 -
ViRobot       20071218       2007.12.18       2007-12-18  0.66 -
IKARUS       T3.1.01.15    2007.12.19.70014  2007-12-19  1.73 -
江民杀毒    10.00.650    2007.12.18       2007-12-18  2.20 -
卡巴斯基    5.5.10       2007.12.19       2007-12-19  13.05  -
金山毒霸    2007.6.20.249 2007.12.19       2007-12-19  0.97 -
迈克菲       5.2.00       5188             2007-12-18  2.70 -
MKS_VIR       2.01          2007.12.18       2007-12-18  3.67 -
NOD32       2.70.10       2732             2007-12-19  0.07 -
NORMAN       5.91.08       5.90             2007-12-17  34.85  -
熊猫卫士    9.04.03.0001 2007.12.19       2007-12-19  3.85 Suspicious file
趋势          8.500-1001    4.896.06       2007-12-18  0.04 WORM_AGENT.AFIF
Prevx       V2             20071219       2007-12-19  5.74 -
QuickHeal    9.00          2007.12.18       2007-12-18  8.02 -
瑞星          19.0          20.23.20.00    2007-12-19  2.85 Backdoor.Win32.PBot.b
SOPHOS       2.49.1       4.21             2007-12-19  8.62 -
赛门铁克    1.3.0.24       20071218.007    2007-12-18  0.18 -
nProtect    2007-12-19.00 1094933          2007-12-19  5.04 -
The Hacker    6.2.9          v00164          2007-12-18  1.37 -
VBA32       3.12.2.5       20071218.1224    2007-12-18  3.14 -
VirusBuster 4.3.19:9       9.117.6/11.0    2007-12-18  3.38 -

※ ※ ※ 本文纯属【pikachu30】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 16:59

freedom11
版主

电脑&数码区版主

积分 1212
发帖 1139
注册 2007-11-6

#2

已经有人测试过了呀，直接干掉!后门是过不了微点的

Quote:

深度ID:a393310872
干掉!后门怎么可能过微点捏....除非不用API....哈哈

5分钟前的...还热滴实机测试...不开影子.....

用微点就得有这点胆量!

如图所示：

附件 1: 11.jpg (2007-12-19 17:40, 26.35 K,下载次数： 51)

※ ※ ※ 本文纯属【freedom11】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 17:40

johnchu
中级用户

积分 387
发帖 390
注册 2007-10-16

#3

卡巴斯基 5.5.10 2007.12.19 2007-12-19 13.05 -
迈克菲 5.2.00 5188 2007-12-18 2.70 -
其他的不可了解，但这两个很熟，为什么测试的时候老喜欢拿古董出来呢，测试只用古董的话，要创新干什么？
无聊.....

※ ※ ※ 本文纯属【johnchu】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 17:44

johnchu
中级用户

积分 387
发帖 390
注册 2007-10-16

Quote:

Originally posted by freedom11 at 2007-12-19 17:40:
已经有人测试过了呀，直接干掉!后门是过不了微点的

如图所示：

斑竹，人家楼主说“似乎过了微点”诶，你怎么又说过不了呢

※ ※ ※ 本文纯属【johnchu】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 17:48

freedom11
版主

电脑&数码区版主

积分 1212
发帖 1139
注册 2007-11-6

Quote:

Originally posted by johnchu at 2007-12-19 17:48:

斑竹，人家楼主说“似乎过了微点”诶，你怎么又说过不了呢

有网友已经拿样本测试证实了没有过微点呀，看清楚哦

※ ※ ※ 本文纯属【freedom11】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 17:54

david1126103
版主

积分 723
发帖 721
注册 2006-9-17
来自美国

#6

最好将你同事的微点日志发上来看下

※ ※ ※ 本文纯属【david1126103】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 18:13

pikachu30
注册用户

积分 66
发帖 66
注册 2007-6-3

#7

我发现是因为我同事给我发消息中有附件，我知道她装了微点（我装上去的，是试用版），所以我非常奇怪为什么她还在给我发附件，因此迅速关掉其电脑（就在我一步之遥），在安全模式下，把发现的这个附件搞出来后，再手工去清掉其注册表中一个奇怪的启动项，再删掉WINDOWS目录里的那个ZIP文件。但从其电脑表现看，的确是中招了，否则不可能向别人传文件。传了很多人。

※ ※ ※ 本文纯属【pikachu30】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 20:03

pikachu30
注册用户

积分 66
发帖 66
注册 2007-6-3

#8

我记得给我同事设的是自动静默处理,我去看她电脑上的反映时,发现360提示那个什么device.exe试图加入自启动,询问是否阻止.但那时,其MOUSE已经不太能动了,于是我就强行关掉其电脑了.
我已经将MP6文件夹打包在主页那里上传上去了.

※ ※ ※ 本文纯属【pikachu30】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 20:07

pikachu30
注册用户

积分 66
发帖 66
注册 2007-6-3

#9

我自己试过这个病毒,的确弹出2楼所示的拦截窗口(我自己用预升级版).但360仍报device.exe试图加入自启动.同时,在系统进程中出现了device.exe。如果不信，我现在就试。我现在在家里的台式机旁，装的是试用版。设置为自动静默处理。且安装有360safe

[ Last edited by pikachu30 on 2007-12-19 at 20:15 ]

※ ※ ※ 本文纯属【pikachu30】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 20:10

pikachu30
注册用户

积分 66
发帖 66
注册 2007-6-3

#10

嘿嘿，好消息，成功拦截了！
时间处理结果木马名称木马进程名木马文件创建者
2007-12-19 20:14:24 处理成功未知木马 C:\WINDOWS\DEVICES.EXE C:\DOCUMENTS AND SETTINGS\THUNDERBIRD\LOCAL SETTINGS\TEMP\RAR$DI00.123\IMG2007-12.JPEG.SCR
2007-12-19 20:14:21 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\THUNDERBIRD\LOCAL SETTINGS\TEMP\RAR$DI00.123\IMG2007-12.JPEG.SCR C:\PROGRAM FILES\WINRAR\WINRAR.EXE

微点主动防御软件试用版
程序版本： 1.2.10571.0168
特征版本： 1.6.535.071217
更新时间： 2007-12-17 16:53:49

版权所有 (C) 2005-2007 Micropoint Corporation

※ ※ ※ 本文纯属【pikachu30】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-19 20:14

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号