今天发现瑞星防火墙连报2个程序要连接网络,从文件名看基本可以确定是木马.
打开IceSword发现确实有两个可疑进程,但最新的瑞星杀毒软件依然很沉默.
打开瑞星杀毒仍然无法检测到这2个木马.看来还不如防火墙有用-_-
分析一下发现这2个木马都没加壳,但都有网络相关的函数导入.
看文件日期,两个文件都是2006.1.20(3天前)创建的.

一个是IRJIT.dll,描述是"Microsoft irJIT Module",竟然打着微软的幌子,
藏到windows\system32\wbem中,不过看文件时间就发现与众不同.
其自身加入到服务中,服务的描述让人无语:
"管理 IP 安全客户端策略以及启动，为 IP 安全驱动程序提供存储支持。"

另一个是Network.dll,描述是"QQFACE",版权是"COMENET TECHNOLOGY",
藏到program files\common files\sand中,自身加入到服务中,
服务的描述实在诱人:"提供网络地址转换、名称解析和/或入侵保护服务。
如果此服务被禁用，任何依赖它的服务将无法启动。"
怎么看都与QQ无关,即使与QQ有关,也不可能是名为COMENET公司的产品.

扔到VIRUSTOTAL检测,结果为:
This is a report processed by VirusTotal on 01/23/2006 at 03:33:03 (CET) after scanning the file "IRJIT.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.20.2006 no virus found
Avast 4.6.695.0 01.20.2006 no virus found
AVG 718 01.20.2006 no virus found
Avira 6.33.0.77 01.20.2006 no virus found
BitDefender 7.2 01.23.2006 no virus found
CAT-QuickHeal 8.00 01.21.2006 no virus found
ClamAV devel-20051123 01.21.2006 no virus found
DrWeb 4.33 01.22.2006 DLOADER.Trojan
eTrust-InoculateIT 23.71.57 01.22.2006 no virus found
eTrust-Vet 12.4.2052 01.20.2006 no virus found
Ewido 3.5 01.22.2006 no virus found
Fortinet 2.54.0.0 01.22.2006 no virus found
F-Prot 3.16c 01.20.2006 no virus found
Ikarus 0.2.59.0 01.20.2006 no virus found
Kaspersky 4.0.2.24 01.22.2006 Trojan-Downloader.Win32.QQHelper.u
McAfee 4679 01.20.2006 no virus found
NOD32v2 1.1373 01.20.2006 no virus found
Norman 5.70.10 01.20.2006 no virus found
Panda 9.0.0.4 01.22.2006 no virus found
Sophos 4.01.0 01.22.2006 no virus found
Symantec 8.0 01.23.2006 no virus found
TheHacker 5.9.2.078 01.20.2006 no virus found
UNA 1.83 01.21.2006 no virus found
VBA32 3.10.5 01.22.2006 no virus found

This is a report processed by VirusTotal on 01/23/2006 at 03:17:47 (CET) after scanning the file "Network.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.20.2006 no virus found
Avast 4.6.695.0 01.20.2006 no virus found
AVG 718 01.20.2006 no virus found
Avira 6.33.0.77 01.20.2006 no virus found
BitDefender 7.2 01.23.2006 no virus found
CAT-QuickHeal 8.00 01.21.2006 no virus found
ClamAV devel-20051123 01.21.2006 no virus found
DrWeb 4.33 01.22.2006 DLOADER.Trojan
eTrust-InoculateIT 23.71.57 01.22.2006 no virus found
eTrust-Vet 12.4.2052 01.20.2006 no virus found
Ewido 3.5 01.22.2006 no virus found
Fortinet 2.54.0.0 01.22.2006 no virus found
F-Prot 3.16c 01.20.2006 no virus found
Ikarus 0.2.59.0 01.20.2006 no virus found
Kaspersky 4.0.2.24 01.22.2006 not-a-virus:AdWare.Win32.AdHelper.f
McAfee 4679 01.20.2006 no virus found
NOD32v2 1.1373 01.20.2006 no virus found
Norman 5.70.10 01.20.2006 no virus found
Panda 9.0.0.4 01.22.2006 no virus found
Sophos 4.01.0 01.22.2006 no virus found
Symantec 8.0 01.23.2006 no virus found
TheHacker 5.9.2.078 01.20.2006 no virus found
UNA 1.83 01.21.2006 no virus found
VBA32 3.10.5 01.22.2006 no virus found

看来Kaspersky果然名不虚传啊,而DrWeb在国内似乎无人知晓.
幸好这两个木马没有插入线程,否则防火墙也拦不住.
先不上报,保留木马样本,
看看其他杀软什么时候能截获此病毒即可看出杀毒能力如何.

顶下

记得好像看到你提到的那两个描述语有点眼熟，，果然~~~（借用别人的东西来给自己作伪装~~）

我看你还是把它禁止了吧~~或直接去注册表删了它

下面这两个是正常的服务名和描述语，（XP 2）
IPSEC Services
管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

Windows Firewall/Internet Connection Sharing (ICS)
为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。

今天又发现一木马NetMeeting.exe,隐藏自身进程,只有IceSword可查出.
文件隐藏在program files\NetMeeting中,并加入服务中.
描述为:"管理并保存网络配置和位置信息。"
刚升级到最新的瑞星仍然杀毒失败,但网络连接被瑞星放火墙拦截. 

此文件用NsPack加壳,瑞星本可以脱壳查,但仍没有发现是木马.
VIRUSTOTAL检测结果:
This is a report processed by VirusTotal on 01/24/2006 at 06:00:20 (CET) after scanning the file "NetMeeting.exe" file.
Antivirus Version Update Result 
AntiVir 6.33.0.77 01.23.2006 Heuristic/Trojan.PwdStealer 
Avast 4.6.695.0 01.23.2006 no virus found 
AVG 718 01.23.2006 no virus found 
Avira 6.33.0.77 01.23.2006 Heuristic/Trojan.PwdStealer 
BitDefender 7.2 01.24.2006 no virus found 
CAT-QuickHeal 8.00 01.23.2006 (Suspicious) - DNAScan 
ClamAV devel-20051123 01.21.2006 no virus found 
DrWeb 4.33 01.23.2006 no virus found 
eTrust-InoculateIT 23.71.58 01.23.2006 no virus found 
eTrust-Vet 12.4.2053 01.23.2006 no virus found 
Ewido 3.5 01.23.2006 Backdoor.GrayBird.eh 
Fortinet 2.54.0.0 01.24.2006 suspicious 
F-Prot 3.16c 01.23.2006 no virus found 
Ikarus 0.2.59.0 01.23.2006 no virus found 
Kaspersky 4.0.2.24 01.24.2006 Backdoor.Win32.Hupigon.abd 
McAfee 4680 01.23.2006 no virus found 
NOD32v2 1.1376 01.23.2006 a variant of Win32/Hupigon 
Norman 5.70.10 01.23.2006 no virus found 
Panda 9.0.0.4 01.23.2006 Suspicious file 
Sophos 4.01.0 01.23.2006 no virus found 
Symantec 8.0 01.24.2006 no virus found 
TheHacker 5.9.2.079 01.23.2006 no virus found 
UNA 1.83 01.21.2006 no virus found 
VBA32 3.10.5 01.23.2006 Backdoor.Win32.Hupigon.abd
又一次证明了Kaspersky的实力.真为国产杀软感到汗颜... 

江民的KV2006在线查上面3个木马一样失利.
金山的不提供免费在线查毒,估计结果一样.

另外值得一提的是,上面的NetMeeting木马是BT上某一热门游戏主程序捆绑的,那个种子发布时间是2006-01-15 15:52.
时隔9天,多数杀软竟然都没发现......

积极上报吧...

引用:

【菜菜飞翔的贴子】积极上报吧... ...........................

为什么要上报呢？真正的解决方法不在于靠个人用户上报，而在于技术。
如果赠送瑞星防火墙一年升级还可以考虑...:)

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载HIJACKTHIS
导出日志

引用:

【不言放弃的贴子】http://forum.ikaka.com/topic.asp?board=28&artid=6979213 下载HIJACKTHIS 导出日志 ...........................

多谢了,这个贴并不是求助贴.
我对杀木马已经习以为常了,就这点技术的木马我根本不需要帮助.
我的目地是再次声明,杀毒软件漏杀现象已经越来越严重了.
对于防木马,工具主要只有3个:
1.防火墙(最重要)
2.IceSword(知道其工作原理的都知道它有多厉害)
3.HiJack This(对于高手和菜鸟都有用)
但木马隐藏技术的发展是不会停止的,大家还要加倍小心.
网上BT下载的软件游戏和不知名的软件站是最有可能绑木马的.

DrWeb和Kaspersky均只扫描到其中一个木马