【閒聊】"天堂殺手"木馬的最新變種Trojan/PSW.Lineage.cq

[inutoneko]

今天家裡另一台沒更新的電腦在我姐看完網頁後忽然當掉，
找到這個 svchost.exe 在作怪。

不過奇怪的是，不管我用 Norton AntiVirus 2004 , Panda AntiVirus 鈦金阪 2005,
Kaspersky Online Virus Scanner , McAfee FreeScan 和 Trend Micro HouseCall 都是什麼都掃不到。

稍微玩它玩了一下，這東西會：

1.把自己複製到：
Windows 資料夾
Windows 資料夾內的 ime 資料夾。
2.加入開機啟動：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal"="\"C:\\Windows\\svchost.exe\"
3.佔用你的　ＣＰＵ 到使用率接近　１００％

不知道會不會做其他事

應該只是普通的小病毒，居然一堆防毒軟體掃不到，好奇怪－w－a
有沒有人來研究一下？今天順便傳給 Panda , McAfee 和　Symantec了。

還是一切都是我的幻覺 ，有人能看看嗎?

[阿 土]

新的病毒-「天堂殺手」（Trojan/PSW.Lineage.cq）
http://bjcert.bnii.gov.cn/2j/zxyj/mj.jsp?unid=3151

此變種主要通過病毒網站，利用IE瀏覽器的MHT漏洞和CODEBASE漏洞傳播。
病毒會記錄用戶鍵盤輸入，盜取天堂遊戲的帳號密碼，通過其自帶的SMTP引擎把獲得的非法信息通過電子郵件發送給病毒作者。
同時，病毒還會自動升級，並會刪除硬硬碟上的多種檔案，造成資料破壞

大陸防毒軟體有解 , 其他防毒軟體可能要過一兩天吧

[hpo14]

McAfee Enterprise VirusScan 掃不到病毒... = =
真是悲慘.....

[inutoneko]

同時回傳給三個防毒廠商後，McAfee 在剛剛提供了解決方案囉。
還很貼心的附件付了個 EXTRA.DAT 供偵測此病毒。
病毒碼應該會在下次加入，不過因為日前把 McAfee VirusScan Enterprise 8.0i 換成了 Panda AntiVirus 鈦金阪 2005 所以不能試試看這個 EXTRA.dat

不過 EXTRA.dat 說真的毫無實用性 -.-。

使用 McAfee 產品的檔案回報方法：
https://www.webimmune.net/
網址中註冊後，使用Scan a File 的功能就能夠回報了。

至於 Panda , Symantec 產品的話就用軟體內的功能就好。

------
剛剛也收到 Panda 的回覆了，看來最慢的就是賽門鐵克了。

[kaspersky]

卡巴斯基能夠偵測到

[inutoneko]

應該是今天更新的，更新速度真快。
現在線上掃瞄也能偵測到了。

[pingu]

我比較關心的是這幾套軟體即使掃不到，但會不會對其病毒行為做出警告，以前DOS下的防毒軟體都有這些判斷未知毒的功能，感覺windows上純粹是用病毒碼去防範的，遇到最新的就掛了

[天氣預報]

Norton只要在病毒特別多的期間(像現在)
送交的樣本就會拖很久才回覆
唉....
如果病毒少的話
有時候當天就回覆了

[inutoneko]

引用:

作者: pingu

我比較關心的是這幾套軟體即使掃不到，但會不會對其病毒行為做出警告，以前DOS下的防毒軟體都有這些判斷未知毒的功能，感覺windows上純粹是用病毒碼去防範的，遇到最新的就掛了

我覺得啟發式掃描實在沒什麼用，Norton AntiVirus 和 Panda AntiVirus 根本對這東西沒反應。
Symantec Bloodhound -> 設定成高防護，掃描和執行都沒反應。
Panda TruPrevent -> Panda 自己對這個好像蠻有信心的，2005的產品線大推這個新技術呀，只是這東西再我按兩下讓程式跑了以後還是一點警告也沒有。

感覺上 NOD32 就蠻厲害的，不知道是已知病毒定義太少還是引擎真的太厲害，
每拿個測試壓縮檔掃就會發現未知病毒，不過我覺得 NOD32 除了快以外真的就沒優點了，偵測數連趨勢的產品都比不上。

[pingu]

引用:

作者: inutoneko

我覺得啟發式掃描實在沒什麼用，Norton AntiVirus 和 Panda AntiVirus 根本對這東西沒反應。
Symantec Bloodhound -> 設定成高防護，掃描和執行都沒反應。
Panda TruPrevent -> Panda 自己對這個好像蠻有信心的，2005的產品線大推這個新技術呀，只是這東西再我按兩下讓程式跑了以後還是一點警告也沒有。

感覺上 NOD32 就蠻厲害的，不知道是已知病毒定義太少還是引擎真的太厲害，
每拿個測試壓縮檔掃就會發現未知病毒，不過我覺得 NOD32 除了快以外真的就沒優點了，偵測數連趨勢的產品都比不上。

嗯，掃毒能力愈進步，防毒能力愈退步，大大真有心，每套都去試，自從上次亂玩把電腦毀掉後，就不敢亂動