瑞星和其竞争对手都查不出这个文件是病毒！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流瑞星和其竞争对手都查不出这个文件是病毒！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

瑞星和其竞争对手都查不出这个文件是病毒！

本主题由版主 mopery 于 2010-2-7 3:09:11 执行移动主题操作

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-06 22:13 \| 只看楼主短消息资料字号：小中大 1楼瑞星和其竞争对手都查不出这个文件是病毒！源文件是2008.EXE，我把它解压缩了，再打包的，现在是2008.RAR 打开这个文件可以看到1.VBS,1.BAT.2.EXE,3.EXE 1.VBS调用WSCRIPT.SHELL 运行 1.BAT 之后1.BAT运行其他的EXE文件，然后删除自身。 3.EXE其实是个压缩包，里面有个360RAT.EXE，再解压可以看到里面好像是个刷浏览量的软件。 2.EXE有兴趣的朋友可以自己查看里面的内容，貌似出现了某个论坛的名字。遗憾的是瑞星和360都认为他们是安全的…… 中毒后症状：1.系统会多出一个管理员账户，名字是internetusers 2.进程中会有很多CMD.EXE,PING.EXE，可能还有一个FTP.EXE，但瑞星对此毫无察觉；估计是想入侵我电脑吧，可惜我很快察觉了，希望瑞星能赶快防御此类病毒=、 = 用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17 附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	分享到：

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-06 22:23 \| 只看楼主短消息资料字号：小中大 2楼回复：瑞星和其竞争对手都查不出这个文件是病毒！不好意思，论坛限制附件，我只好分割成很多份，还有一个情况未说明，就是之前病毒会调用WSCRIPT.EXE这个文件，我之后再组策略中将该文件限制为“不允许”
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-06 22:29 \| 只看楼主短消息资料字号：小中大 3楼回复：瑞星和其竞争对手都查不出这个文件是病毒！之前有朋友说因为此程序分步骤的行为比较合理……我想说的是，别人都在你计算机里，在你毫不知情甚至毫无任何键盘鼠标操作的情况下建立了一个管理员账户，如果这个都无法检测出来的话，后果不堪设想！今日补充该病毒的其他成员（昨天清除太快，没记得留下副本，今早又中了，索性都保存下来）大部分都存在于WINDOWS下面的SYSTEM32目录，扩展名可能会变。有趣的是我还发现一个DLL文件，打开后看到一行骂我的话…… 文件列表(我已经打包好，为了防止再次运行，每个文件我都加了些多余的星号和斜杠进去，其中的1.TXT和2.TXT都写着xxxLENGYUYETAMA，不解，另外SYS文件均可以记事本打开，可以看到几个IP地址)： 1.BAT 1.TXT 1.VBS 2.TXT autoexec.bat autoexec.vbs cc.bat cc.sys cmd.bat j.i niubi.bat niubi.sys vbskell.vbs vbsky.vbs xl.bat xl.sys xl1.bat xl1.sys 附件: 您所在的用户组无法下载或查看附件 tomleader 最后编辑于 2010-02-07 10:24:39
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-07 10:30 \| 只看楼主短消息资料字号：小中大 4楼回复：瑞星和其竞争对手都查不出这个文件是病毒！由于发现比较快，有几个EXE文件没等它自动下载好，我就清除了，没保存到。niubi.exe,cc.exe,xl.exe,xl1.exe 有的朋友麻烦传上来一下
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-07 11:09 \| 只看楼主短消息资料字号：小中大 5楼回复: 瑞星和其竞争对手都查不出这个文件是病毒！继续检查，又在WINDOWS目录下的DEBUG目录发现残余势力，共2个文件，1个是b.exe，1个是kao.bat，有趣的是b.exe还写的是瑞星的描述信息。文件我已打包好，瑞星对这2个文件认为是很安全的。 tomleader 最后编辑于 2010-02-07 11:15:51
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-07 11:12 \| 只看楼主短消息资料字号：小中大 6楼回复: 瑞星和其竞争对手都查不出这个文件是病毒！不能上传文件了吗附件: 您所在的用户组无法下载或查看附件 tomleader 最后编辑于 2010-02-07 11:17:06
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:

tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:	发表于： 2010-02-07 14:58 \| 只看楼主短消息资料字号：小中大 7楼回复: 瑞星和其竞争对手都查不出这个文件是病毒！下午又中这个病毒了，这次用SRENG扫描了一遍，大虾帮我看看我电脑漏洞在哪里，为什么病毒屡次能安然入住。附件是日志：附件: 您所在的用户组无法下载或查看附件
tomleader 初生襁褓狮帖子:11 注册: 2008-08-13 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-02-07 17:19 \| 短消息资料字号：小中大 8楼回复 6F tomleader 的帖子上报文件成功！查询编号：RS20100207171328046664 为查询文件分析结果，请记录此编号。谢谢您的参与！
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT