新微赢技术网

标题: 用了木马杀客，我真的无语 [打印本页]

作者: ...火狐狸``` 时间: 2009-7-10 22:33
标题: 用了木马杀客，我真的无语
今天下了那个“木马杀客”，用来查杀了一下，还真是吓了一跳，

系统事件：已发现木马!
木马名称：.1484
木马路径：G:\WINDOWS\system32\pxhpinst.exe
处理方式：删除成功

什么都没有提示就给我删了，就那么肯定是木马么？进入隔离区看了一下什么也没有，连备份也没有一个，如果删错了怎么办？

至于pxhpinst.exe是不是木马已经无从对证了，我一直开着卡巴斯基的，不定期的也用一下ewido，并没有发现木马。但是这个“木马杀客”实在令人吃惊，查出了两个软件都查不出的木马。但是杀了木马却要死无对证了，因为已经删了。

于是上网用Google的阉割版Google.cn查了一下pxhpinst.exe（我发现最近Google.com一直上不去，是不是被屏蔽啦？），第一个搜到了关于木马杀客的一篇文章：
引用:
今天在那个自称被人封的绿色软件站下载了个木马杀客，刚开始杀了点东西，似乎有点模样－－因为它杀的东西似乎木马克星没反应：

2006年3月2日
系统事件：已发现木马!
木马名称：backdoor.heidong.b.2639
木马路径：C:\WINNT\system32\VTPreset.exe
处理方式：隔离成功
C:\WINNT\system32\VTPreset.exe

系统事件：已发现木马!
木马名称：.1488
木马路径：C:\WINNT\system32\pxhpinst.exe
处理方式：删除成功

--------------------------------------------------------------------------------

后来发现，原来VTPreset.exe是NB显卡驱程的一个东西。再扫描，这下问题大了，把Resco Explorer下杀了一堆：

系统事件：已发现伪系统木马!
木马名称：Win32.Troj.Lineage.i.2091
木马路径：D:\PPC Hanhua\RESCO522\Resco ARMV4\PPCwork\Work\DONE\Explorer.exe
处理方式：隔离成功

系统事件：已发现伪系统木马!
木马名称：Win32.Troj.Lineage.i.2091
木马路径：D:\PPC Hanhua\RESCO522\Resco ARMV4\PPCwork\Work\DONE\U_DONE\Explorer.exe
处理方式：隔离成功

--------------------------------------------------------------------------------
玩PDA的网友应该一看就知道，这是PPC下的东西。上面限于篇幅，没有全部列出，反正这家伙下手真狠，几乎我的汉化目录中叫这个名字的都干掉了……晕
它说别人伪，不知自己是否也伪呢？
引用一个该文的回复
引用:
它好像是根据文件名来判断是否木马，难道这就是传说中的超级扫描技术？
查到的pxhpinst.exe的资料，
引用:
Name: pxhpinst.exe
Publisher: Microsoft
Category: Application
Version Number: 2.3.0.0

Default Location: c:\windows\ehome\createdisc\pxhpinst.exe

Product(s)
This version of  pxhpinst.exe is found in the following products:

File Version       Description                                  Publisher
Pxhpinst.exe    2.3.18.0 PX Setup Application    Musicmatch, Inc.
pxhpinst.exe    2.3.0.0 PX Setup Application       Microsoft
pxhpinst.exe    2.3.28.0 PX Setup Application    Google
具体看网页http://www.programchecker.com/file/10571.aspx

难道“木马杀客”真的根据文件名来判断？如果是系统文件名，但是出现在别的目录中这就是木马了？

于是我把一个正常的exe文件改名为EXPLORER.exe,放在Program Files文件夹下，然后用“木马杀客”查杀了一遍

2006年11月7日
系统事件：已发现伪系统木马!
木马名称：Win32.Troj.Lineage.i.2083
木马路径：G:\Program Files\EXPLORER.exe
处理方式：隔离成功

再看了一下Program Files，那个假的EXPLORER.exe不见了，在Program Files下生成了名为“EXPLORER.exe_被屏蔽木马”的文件，
用WinMD5Sum.exe比较了一下发现MD5是一样的，原来所谓的隔离就是改了下名字。

我真的无语了！
首先不说木马判断准不准确，但是这种文件名判断技术真是先进啊，肯定能从一个正常系统里查出不少“木马”！

欢迎光临新微赢技术网 (http://bbs.weiying.cn/)