发表于: 2010-08-01 15:49 | 显示全部 短消息 资料
字号: 1楼

瑞星忽视了流氓软件与病毒的联系!!【有图有真相 有样本】

很久没有用过杀毒软件了。  大前天的大前天,我无意发现麦咖啡的防火墙弹出一个程序(update.exe)运行请求,甚是可疑。  于是把它禁止了,紧接着又是一个starup.exe


我突然后背一辣。隐约感到自己有中毒的可能。于是开启了刚升级的瑞星2010进行了C目录的查杀
谁知竟然对这两个程序文件毫无反应,


顺着日志记录,我来到当事文件目录一探究竟,发现是一个自称Newgameupdate的程序,签名厂商 是上海欢熊信息技术有限公司。百度一下,发现这熊果然够”欢“。 是专门承接流氓软件制作的正规公司



 附件: 您所在的用户组无法下载或查看附件


我想到了瑞星可疑文件上报(我本来以为是上传给专家分析的) ,结果却令我失望。
仅仅是扫了一下就判断为安全。 不怪你,瑞星,我想这么多文件真人也分析不过来。


于是自己进行了一番调查,详细内容就省了。发现欢熊其中的日志记录牵扯及令一文件1280644884.exe



 附件: 您所在的用户组无法下载或查看附件



用peid内核查壳为 vc++  为了保险起见,我没有用以往的舍子套狼法进行安全性验证。(就是运行并分析其动作)  而是很小菜的用C32asm 16位打开随机看了一遍内容。。


结果这一随机让事件变得水落石出。
见图

 附件: 您所在的用户组无法下载或查看附件


其上赫然映出 360safe 这扎眼的一段
同志们大概分析出一二了。这款未被病毒库记录流氓软件其实已经担下下载者的重担,成为真正意义的下载者
所列其余的杀毒大家也不陌生吧,这就是一个木马。


最后来张流氓全家福

 附件: 您所在的用户组无法下载或查看附件



样本

 附件: 您所在的用户组无法下载或查看附件