本页主题: 用McAfee三年，昨天中了木马，大意了打印 \| 加为IE收藏 \| 复制链接 \| 收藏主题 \| 上一主题 \| 下一主题

recall_love

级别: 新手上路

精华: 0
发帖: 8
威望: 67 点
风云币: 3208 元
专家分: 0 分
在线时间:0(小时)
注册时间:2007-11-28
最后登录:2007-11-29

小中大引用推荐编辑只看复制

用McAfee三年，昨天中了木马，大意了

管理提醒： (吟心痕)

普通会员不可使用[公告]分类，发贴前请注意版规，谢谢！(2007-11-28 10:42)

用McAfee三年，昨天中了木马，大意了
本人用McAfee8.0i近三年的时间，昨天中了一个木马，真是有些大意了。

说说过程：

在eMule上找一个软件，下载后，运行了里面的keygen，结果没有什么反应。当时自己就感觉有些不对，然后用ProcessExplorer查看进程信息，一切正常。于是就没再多想。结果早上，再开机后发现，所有的杀毒软件(McAfee8.0i，Kaspersky6.0移动版)和网络防火墙(ZA5.5)都已经被K掉了。

当时的第一反应就是断网。然后再看进程信息，里面有一个svchost.exe在不断的调用iexplorer.exe进行连网操作。查看启动项，里面的貌似正常。不过现在已经无法运行杀毒程序了，只好找出iceSword这个法宝。用它来查看进程信息，发现了4个隐藏的进程，删掉，再删掉这个木马的启动项。然后用以前备份的Kaspersky来杀毒。

毒最终被杀掉了，我又把那个keygen程序找出来，用McAfee试(病毒库5171)，还是没反应。然后用专杀木马的ewido试，也没反应。

但我肯定这个是木马程序。打开VMVARE，把这个程序放里面，然后用Filemon与Regmon进行跟踪，结果这个程序在VmVare里不能运行。。。现在的木马都做到这种程度了，不能不佩服一下。

用查壳工具看，原来这个程序是用Themida加的壳。我不太清楚是不是因为这个原因，所以它逃过了杀毒软件的监控。

查了下卡巴给出的病毒信息，是Trojan-Downloader.Win32.Bagle.ga (又名：W32.Beagle.GM)，此木马运用了rootkit来隐藏自己，并且会自动结束并删除多种安全软件。

网络时代，安全第一啊。希望大家以后上网时都小心一些吧。

===================================================
附：(从中可以看出，有许多杀毒软件到现在还是查不出这个木马的)
VirSCAN.org Scanned Report :
Scanner results: 39%的杀软(14/36)报告发现病毒
File Name : 木马.zip
File Size : 1536555 byte
File Type : Zip archive data, at least v2.0 to extract
MD5 : c12219d3bbf551525c2c9e11b21554b4
SHA1 : e4b3d00be2931724cde78ee367807b90552184b4
Online report : http://virscan.org/report/0bebdda767c12dcd9c34da3620fcafd6.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.0.0.126 2007.11.26 2007-11-26 2.87 -
安博士V3 2007.11.27.01 2007.11.27 2007-11-27 1.10 -
AntiVir 7.6.0.35 7.0.1.11 2007-11-27 2.21 TR/Dldr.Bagle.EN.2
Arcavir 1.0.4 200711262202 2007-11-26 1.42 -
AVAST 1.0.8 071127-0 2007-11-27 3.65 -
AVG 7.5.49.442 269.16.8/1154 2007-11-27 1.84 IRC/BackDoor.SdBot3.VWE
BitDefender 7.60825.956788 7.15986 2007-11-27 3.44 Trojan.Downloader.Bagle.EN
CA (VET) 9.0.0.143 31.3.5332 2007-11-27 0.77 -
ClamAV 0.91.2 4928 2007-11-27 0.75 -
Comodo 2.11 2.0.0.356 2007-11-27 0.94 -
CP Secure 1.1.0.655 2007.11.27 2007-11-27 4.91 Packed.W32.Themida.x.a
Dr.WEB 4.44.0.9170 2007.11.27 2007-11-27 3.31 Win32.HLLM.Beagle
ewido 4.0.0.2 2007.11.25 2007-11-25 2.36 -
F-PROT 4.4.1.52 20071127 2007-11-27 2.06 -
F-SECURE 5.51.6100 2007.11.27.01 2007-11-27 3.45 Trojan-Downloader.Win32.Bagle.ga [AVP]
飞塔 2.81-3.11 8.423 2007-11-27 1.83 W32/Bagle.GA!tr.dldr
ViRobot 20071127 2007.11.27 2007-11-27 0.38 -
IKARUS T3.1.01.15 2007.11.26.69895 2007-11-26 7.04 Backdoor.Win32.IRCBot.abp
江民杀毒 10.00.650 2007.11.26 2007-11-26 1.13 -
卡巴斯基 5.5.10 2007.11.27 2007-11-27 5.05 Trojan-Downloader.Win32.Bagle.ga
金山毒霸 2007.6.20.249 2007.11.28 2007-11-28 0.80 -
迈克菲 5.2.00 5171 2007-11-26 6.20 -
MKS_VIR 2.01 2007.11.27 2007-11-27 3.03 -
NOD32 2.70.10 2687 2007-11-26 0.01 Win32/Bagle.KY worm
NORMAN 5.91.08 5.90 2007-11-25 6.82 SDBot.gen8
熊猫卫士 9.04.03.0001 2007.11.26 2007-11-26 3.54 -
趋势 8.500-1001 4.850.09 2007-11-27 0.57 -
Prevx V2 20071127 2007-11-27 40.41 -
QuickHeal 9.00 2007.11.27 2007-11-27 3.56 -
瑞星 19.0 20.20.12.00 2007-11-27 3.66 -
SOPHOS 2.49.1 4.21 2007-11-27 4.65 -
赛门铁克 1.3.0.24 20071126.021 2007-11-26 0.66 W32.Beagle.GM
nProtect 2007-11-26.01 1062855 2007-11-26 18.14 -
The Hacker 6.2.9 v00142 2007-11-26 0.78 Trojan/Downloader.Bagle.ga
VBA32 3.12.2.5 20071126.1048 2007-11-26 3.14 -
VirusBuster 4.3.19:9 9.115.11/11.0 2007-11-26 4.12 Trojan.DL.Bagle.QR

顶端 Posted: 2007-11-28 10:39 | [楼主]

萧萧暮雨