環境:VirusTotal
樣本獲取途徑:
在一台安裝江民防毒試用版已於98/02/26到期無法升級且已中毒的主機中使用WinRAR當成檔案總管查看各磁碟分區根目錄及system32資料夾,把可疑的檔案加入江民樣本庫並掃描樣本庫確認無漏取,並把37支樣本用WinRAR抓入隨身碟抓回自己電腦,其中33支被檔案監控偵測刪除,幸好是在自己的電腦,在備份區找回同系列4支共8支!
樣本送往VirusTotal進行偵測,結果如下圖
檢測結果詳情
kacsde.exe http://www.virustotal.com/zh-tw/analisis/dcb7a2b80acb4e7a7af52782d8805733
uret463.exe http://www.virustotal.com/zh-tw/analisis/939c3dcec6136978e6af58aa994d4136
godert0.dll http://www.virustotal.com/zh-tw/analisis/9d52e8d3144c8a6b57397faf657ff0f8
godert1.dll http://www.virustotal.com/zh-tw/analisis/43a53dc13e3a604a1e59bfb69e94d749
lhgjyit0.dll http://www.virustotal.com/zh-tw/analisis/2c711c0d89aec4cabd102d250a873a8b
lhgjyit1.dll http://www.virustotal.com/zh-tw/analisis/0eb66f67f4d80e18034f51f557d7a577
hqx292nu.exe http://www.virustotal.com/zh-tw/analisis/8931c6e66773a0d701643a94d1c72a12
om0.com http://www.virustotal.com/zh-tw/analisis/6b6ff74ed5a6d16b2768dcf21fa7e8b6
由上圖可知,偵測率的高低其實跟名氣沒有太大關係,反而沒人討論的microsoft跟McAfee-GW-Edition(圖中無)偵測率最高(這2個是啥麼東西??),而symentec跟AVG這2個不知道什麼版本的暫居第2,或許對版本號有研究的大大能告知以上4種防毒各是什麼版本~
但如果把江民刪掉沒收錄的29支也放進去的話,情況也會相同嗎?我倒是不會這樣認為~
其實平常有在收集病毒的人看到這些檔案名稱,應該會知道這些病毒屬於kacsde.exe系列的第2變種跟第3變種,原生種kacsde.exe大約在今年2月中旬被我第一次抓到,lhgjyit1.dll 跟lhgjyit0.dll 應該是第2變種、godert0.dll 跟 godert1.dll則是第3變種的產物,這4支存在於system32底下,其中各一支必須進入安全模式才能加以刪除!這也是部分防毒總是刪除又掃到的最常見原因,而線上掃毒對這類必須重啟刪除的病毒也幾乎沒轍~
今天這8支隨身碟病毒對個人來說並沒甚麼大不了,因為我習慣使用江民去手動找毒殺毒,就算病毒本體藏在其他資料夾,例如常見的C:\Documents and Settings\Administrator\Local Settings\Temp或C:\WINDOWS\Help,藉由樣本庫比對,江民還是能把他找出來,甚至不用更新病毒碼就能刪除,更新病毒碼的最大用意是找出其他夾藏的木馬,但以前使用別套防毒的經驗是遇到這類掃不到或一直再生的變種病毒,可能就必須重複安裝移除幾套防毒才能真正清除了~
這個客人的電腦最後我沒幫他重灌,畢竟只是中了隨身碟病毒,木馬也清光了,又何必讓客人多花一筆重灌的費用?買一套正版防毒就是了~
留言列表
