瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 最新病毒样本一个!绝大部分的杀毒软件无法查出此病毒
Chxking - 2010-3-18 15:44:00
这是一个木马病毒,前身是个木马,但已具备感染可执行文件的能力。

附件是一个被病毒感染了的Windows更新,各位可以从MS官方下载这个更新对比下就明白了。

 附件: 您所在的用户组无法下载或查看附件
我测试的结果是,目前:NOD32 4.2.35、Mcafee7.1、Symantec SEP11.0.5002.333、小红伞 9.0、360杀毒 1.1 1100C、微软自家的病毒 1.0.1961 加上最新的病毒库都无法识别此病毒。
360杀毒及AVG的杀毒产品的安装程序也能被病毒感染(这2个软件没有安装文件的自身防护功能)

网上查杀结果:(全部Pass!!!很恐怖的说)
http://www.virscan.org/report/ccf3bc919a73dc08b4ede4d9d09563d4.html

病毒会劫持RPC服务,然后通过Svchost.exe 传播病毒,感染所有可以执行的Exe文件。

如果没有绝对的自信,不要轻易尝试执行这个病毒更新!

病毒最直接的表现就是会更换Windows\System32\rpcss.dll,将原rpcss.dll更换为arpcss.dll,达到劫持RPC服务的目的。。。
当然也许还有其他的现象,我没具体分析。。。


3.18晚7时跟进:=======================
The file 'WindowsXP-KB978262-x86-CHS.exe' has been determined to be 'MALWARE'.
Our analysts named the threat DR/Exxp.502. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates.

小红伞已定义病毒并加入了病毒库,推送更新后就可以检测到此病毒了。。。
目前其他上市的杀毒软件都无能为力。。。
至于那些报告为可疑程序的了,是因为该更新的的数字签名被破坏,才有消息告知,如果感染的是没有数字签名的程序,估计就直接pass!


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)
帅哥阿福 - 2010-3-18 15:51:00
将样本提交至:http://mailcenter.rising.com.cn/filecheck/

可使用查询编号:RS20100318084938625774 进行查询
帅哥阿福 - 2010-3-18 15:52:00
http://www.virscan.org/report/cc ... ede4d9d09563d4.html
没一款杀软报毒的。
Chxking - 2010-3-18 15:53:00
上报360 杀毒已经不搭理了,给毒霸了,也没信了,不晓得瑞星是不是一样做法!

其实这个病毒最开始已经上报了,可瑞星给我的答复的安全文件,无问题,哈哈哈,真不知道瑞星管理上报的人员如何处理的。。。
我已经给了一个最好的对比参照,因为这个是Windows的更新,从官方下载一个就有对比,明显的不同。。。
哪晓得。。。

大家可以看看上报查询号:RS20100318084938625774
Chxking - 2010-3-18 15:55:00


引用:
原帖由 帅哥阿福 于 2010-3-18 15:52:00 发表
http://www.virscan.org/report/cc ... ede4d9d09563d4.html
没一款杀软报毒的。


我早就试过了,昨天就开始测试的。。。

目前没有任何杀毒引擎可以发现这个病毒体,至于杀毒,目前不奢望,能查出来就不错了。。。
Chxking - 2010-3-18 19:39:00
The file 'WindowsXP-KB978262-x86-CHS.exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/Exxp.502. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Avira Virus Lab刚回复我的,以及确认并定义了病毒名称,并加入了病毒库,下次更新时会检测到。。。
丨替补 - 2010-3-18 21:28:00
将样本提交至:http://mailcenter.rising.com.cn/filecheck/

可使用查询编号:RS20100318084938625774 进行查询
networkedition - 2010-3-19 12:49:00
此问题已收集反馈。
Chxking - 2010-3-19 16:59:00
速度实在是太快了。。。
Chxking - 2010-3-19 17:17:00
重新拿附近去http://www.virscan.org 扫描,再对比下之前是扫描结果:http://www.virscan.org/report/ccf3bc919a73dc08b4ede4d9d09563d4.html

瑞星加入了病毒定义,给个邮件答复应该不是很难吧。。。
sinoer - 2010-3-21 9:33:00
如果是在邮件服务中心提交的,样本检测完会有回复,如果是在文件上报中心提交的,需要记录编号自行查询
菜菜万岁 - 2010-3-21 13:27:00

 附件: 您所在的用户组无法下载或查看附件下面的是附件上面的是被查杀后的正常文件

病毒 2010-03-21  13:22:51 病毒在文件E:\QQDownload\HZ$D.851.1466\WindowsXP-KB978262-x86-CHS.exe中 Win32.PatchP.fu.1840 处理成功(操作:清除)


瑞星20.022.39.06.012010-03-21Win32.RuiRui.j
1.226
金山毒霸2009.2.5.152010.3.21.72010-03-21Win32.PatchP.fu.1840
0.607



 附件: 您所在的用户组无法下载或查看附件
1
查看完整版本: 最新病毒样本一个!绝大部分的杀毒软件无法查出此病毒
© 2000 - 2025 Rising Corp. Ltd.