【討論】請問Fortinet偵測到的Patch.F!tr是??

[schumacher]

有裝NetLimiter 2.0.9某全中文化快樂版的注意嚕!!
我剛剛用Fortinet掃到裡面某個執行檔有這個東東Patch.F!tr.....
只是我不知道這是哪種病毒??還是木馬??或者是誤判??
日文解釋我看不懂XD
請達人解釋一下這威脅的運作原理^^

補充:
Sophos 也偵測到 Troj/Patch-F
CAT-QuickHeal 一樣偵測到 (Suspicious) - DNAScan
看來是木馬了一凸,好險我還沒安裝Orz
其他軟體都掃不到嚕一一"

[DarkSkyline]

SOPHOS 的 Troj/Patch-F 病毒資料:
http://www.sophos.com/security/analyses/trojpatchf.html

FrSIRT 的 Troj/Patch-F 病毒資料:
http://www.frsirt.com/english/virus/2006/07549

[esjustin]

請閣下上傳到論壇以供分析...

[schumacher]

2F大大謝謝提供資料^^

我把幾版快樂版本裡面有問題的內容分開上傳!
第一個上傳的是確定有木馬了!

第二個上傳的是被cat-q軟體列為懷疑dnascan
第三個上傳的是被Fortinet軟體列為懷疑
所以後兩者有沒有未知病毒,或是誤判就有賴專業人士判斷嚕^^

[sdbb]

二樓大大提供的資料你看了嗎？
那些程式是因為會修改你的netlimiter而被視為木馬，不一定是那些程式本身真的是會竊取、破壞你資料的木馬。

你用的patch我正在用，沒問題。

至於中文化檔，那是用winrar壓縮的自解檔，你把檔案拉給winrar開，看看內容以及執行的腳本命令就知道有沒有毒了，
這部份請您自己去找答案囉。

[schumacher]

嗯嗯!看了..
此新型木馬是用來解除版權NuSphere 4.6的保護!還會生成Basemod.dll??
不過第二個netlimiter.pro.v2.0.9.1-patch狀似比較安全@?同樣作用,至少沒軟體把它定義為木馬xd

只是很奇怪,我用2.0.8.1快樂版直到目前該安裝都沒軟體會懷疑有威脅!
方式也是直接替換nlsvc.exe便可正常工作,讓人放心不少也方便許多!

2.0.8.1的中文化檔案的確也是被Fortinet懷疑有威脅!
我之前手動解壓縮後也看不出有何端睨一一",中文化檔應該是被誤判吧!
還真是猜不透=.=

引用:

作者: sdbb

二樓大大提供的資料你看了嗎？
那些程式是因為會修改你的netlimiter而被視為木馬，不一定是那些程式本身真的是會竊取、破壞你資料的木馬。

你用的patch我正在用，沒問題。

至於中文化檔，那是用winrar壓縮的自解檔，你把檔案拉給winrar開，看看內容以及執行的腳本命令就知道有沒有毒了，
這部份請您自己去找答案囉。

[sdbb]

引用:

作者: schumacher

嗯嗯!看了..
此新型木馬是用來解除版權NuSphere 4.6的保護!還會生成Basemod.dll??
不過第二個netlimiter.pro.v2.0.9.1-patch狀似比較安全@?同樣作用,至少沒軟體把它定義為木馬xd

只是很奇怪,我用2.0.8.1快樂版直到目前該安裝都沒軟體會懷疑有威脅!
方式也是直接替換nlsvc.exe便可正常工作,讓人放心不少也方便許多!

2.0.8.1的中文化檔案的確也是被Fortinet懷疑有威脅!
我之前手動解壓縮後也看不出有何端睨一一",中文化檔應該是被誤判吧!
還真是猜不透=.=

我用的patch是你上傳的第二個，中文化我沒用。
根據你回報的結果，你應該傳給virus total看過了，
我看了第一個檔案日期是2006 6月16日，真有病毒，該毒早就應該被收錄了，除非檔案日期是假的，或是那個檔案最近才釋出。