最新病毒样本一个!绝大部分的杀毒软件无法查出此病毒
这是一个木马病毒,前身是个木马,但已具备感染可执行文件的能力。
附件是一个被病毒感染了的Windows更新,各位可以从MS官方下载这个更新对比下就明白了。
附件:
您所在的用户组无法下载或查看附件我测试的结果是,目前:NOD32 4.2.35、Mcafee7.1、Symantec SEP11.0.5002.333、小红伞 9.0、360杀毒 1.1 1100C、微软自家的病毒 1.0.1961 加上最新的病毒库都无法识别此病毒。
360杀毒及AVG的杀毒产品的安装程序也能被病毒感染(这2个软件没有安装文件的自身防护功能)
网上查杀结果:(全部Pass!!!很恐怖的说)
http://www.virscan.org/report/ccf3bc919a73dc08b4ede4d9d09563d4.html病毒会劫持RPC服务,然后通过Svchost.exe 传播病毒,感染所有可以执行的Exe文件。
如果没有绝对的自信,不要轻易尝试执行这个病毒更新!
病毒最直接的表现就是会更换Windows\System32\rpcss.dll,将原rpcss.dll更换为arpcss.dll,达到劫持RPC服务的目的。。。
当然也许还有其他的现象,我没具体分析。。。
3.18晚7时跟进:=======================
The file 'WindowsXP-KB978262-x86-CHS.exe' has been determined to be 'MALWARE'.
Our analysts named the threat DR/Exxp.502. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates.
小红伞已定义病毒并加入了病毒库,推送更新后就可以检测到此病毒了。。。
目前其他上市的杀毒软件都无能为力。。。
至于那些报告为可疑程序的了,是因为该更新的的数字签名被破坏,才有消息告知,如果感染的是没有数字签名的程序,估计就直接pass!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)
