设为首页收藏本站

新微赢技术网

 找回密码
 注册
搜索
热搜: 回贴
查看: 104|回复: 15
打印 上一主题 下一主题

用了木马杀客,我真的无语

[复制链接]
跳转到指定楼层
1#
发表于 2009-7-10 22:33:20 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
今天下了那个“木马杀客”,用来查杀了一下,还真是吓了一跳,

系统事件:已发现木马!
木马名称:.1484
木马路径:G:\WINDOWS\system32\pxhpinst.exe
处理方式:删除 成功

什么都没有提示就给我删了,就那么肯定是木马么?进入隔离区看了一下什么也没有,连备份也没有一个,如果删错了怎么办?

至于pxhpinst.exe是不是木马已经无从对证了,我一直开着卡巴斯基的,不定期的也用一下ewido,并没有发现木马。但是这个“木马杀客”实在令人吃惊,查出了两个软件都查不出的木马。但是杀了木马却要死无对证了,因为已经删了。

于是上网用Google的阉割版Google.cn查了一下pxhpinst.exe(我发现最近Google.com一直上不去,是不是被屏蔽啦?),第一个搜到了关于木马杀客的一篇文章:
引用:
今天在那个自称被人封的绿色软件站下载了个木马杀客,刚开始杀了点东西,似乎有点模样--因为它杀的东西似乎木马克星没反应:

2006年3月2日
系统事件:已发现木马!
木马名称:backdoor.heidong.b.2639
木马路径:C:\WINNT\system32\VTPreset.exe
处理方式:隔离 成功
C:\WINNT\system32\VTPreset.exe

系统事件:已发现木马!
木马名称:.1488
木马路径:C:\WINNT\system32\pxhpinst.exe
处理方式:删除 成功

--------------------------------------------------------------------------------

后来发现,原来VTPreset.exe是NB显卡驱程的一个东西。再扫描,这下问题大了,把Resco Explorer下杀了一堆:

系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2091
木马路径:D:\PPC Hanhua\RESCO522\Resco ARMV4\PPCwork\Work\DONE\Explorer.exe
处理方式:隔离 成功


系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2091
木马路径:D:\PPC Hanhua\RESCO522\Resco ARMV4\PPCwork\Work\DONE\U_DONE\Explorer.exe
处理方式:隔离 成功

--------------------------------------------------------------------------------
玩PDA的网友应该一看就知道,这是PPC下的东西。上面限于篇幅,没有全部列出,反正这家伙下手真狠,几乎我的汉化目录中叫这个名字的都干掉了……晕
它说别人伪,不知自己是否也伪呢?
引用一个该文的回复
引用:
它好像是根据文件名来判断是否木马,难道这就是传说中的超级扫描技术?
查到的pxhpinst.exe的资料,
引用:
Name: pxhpinst.exe
Publisher: Microsoft
Category: Application
Version Number: 2.3.0.0

Default Location: c:\windows\ehome\createdisc\pxhpinst.exe

Product(s)
This version of  pxhpinst.exe is found in the following products:

File Version         Description                                   Publisher
Pxhpinst.exe     2.3.18.0 PX Setup Application      Musicmatch, Inc.  
pxhpinst.exe     2.3.0.0 PX Setup Application        Microsoft  
pxhpinst.exe     2.3.28.0 PX Setup Application      Google  
具体看网页http://www.programchecker.com/file/10571.aspx

难道“木马杀客”真的根据文件名来判断?如果是系统文件名,但是出现在别的目录中这就是木马了?

于是我把一个正常的exe文件改名为EXPLORER.exe,放在Program Files文件夹下,然后用“木马杀客”查杀了一遍

2006年11月7日
系统事件:已发现伪系统木马!
木马名称:Win32.Troj.Lineage.i.2083
木马路径:G:\Program Files\EXPLORER.exe
处理方式:隔离 成功

再看了一下Program Files,那个假的EXPLORER.exe不见了,在Program Files下生成了名为“EXPLORER.exe_被屏蔽木马”的文件,
用WinMD5Sum.exe比较了一下发现MD5是一样的,原来所谓的隔离就是改了下名字。


我真的无语了!
首先不说木马判断准不准确,但是这种文件名判断技术真是先进啊,肯定能从一个正常系统里查出不少“木马”!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

申请友链|小黑屋|最新主题|手机版|新微赢技术网 ( 苏ICP备08020429号 )  

GMT+8, 2024-11-19 06:37 , Processed in 0.094618 second(s), 9 queries , Gzip On, Memcache On.

Powered by xuexi

© 2001-2013 HaiAn.Com.Cn Inc. 寰耽

快速回复 返回顶部 返回列表