Re: [中毒] 用小紅傘掃瞄時發現WORM/Brontok.DO

作者xiaoyao (改變)

看板AntiVirus

標題Re: [中毒] 用小紅傘掃瞄時發現WORM/Brontok.DO

時間Sat Aug 16 15:41:19 2008

※ 引述《aidasit (咩咩)》之銘言： : 今天用小紅傘作例行性掃瞄時，發現在這個檔案中 : (C:\WINNT\PCHealth\HelpCtr\Binaries\msconfig.exe) : 似乎感染了 WORM/Brontok.DO 這病毒 : 不清楚是小紅傘誤判呢？還是真被感染了？ : 4.報告連結： : 請將掃描報告(log)貼於下方 (上面的全要) : Combofix ：http://kotuha.com/file/DizJF-ComboFix.html : Hijackthis：http://kotuha.com/file/CB4MB-hijackthis.html : SRENG ：http://kotuha.com/file/qP0Xz-SREngLOG.html : 掃毒報告： : http://kotuha.com/file/WKWjd-AVSCAN-20080816-122524-3D791D04.html : 麻煩各位幫忙處理了m(_ _)m 2008.08.14 05:04:43 http://www.virustotal.com/analisis/8404921a91ea4f3d7b02207131e3db07 當時有10家 AntiVirus 發現可疑威脅分別是: Avira Worm/Brontok.DO Avast Win32:Trojan-gen {Other} F-Secure Email-Worm.Win32.Brontok.do Fortinet W32/Brontok.DO@mm GData Email-Worm.Win32.Brontok.do Ikarus Email-Worm.Win32.Brontok.do Kaspersky Email-Worm.Win32.Brontok.do Prevx1 Worm ViRobot I-Worm.Win32.Brontok.163840 Webwasher-Gateway Worm.Brontok.DO 剛剛將您提供的樣本以msconfig test.rar 上傳分析 2008.08.16 08:49:02 http://www.virustotal.com/zh-tw/analisis/c12558d1b3fa84b3d31d12a5c39fbaee 目前有10家 AntiVirus 發現可疑威脅分別是: Avira Worm/Brontok.DO Avast Win32:Trojan-gen {Other} Fortinet W32/Brontok.DO@mm GData Win32:Trojan-gen Ikarus Email-Worm.Win32.Brontok.do Norman W32/Rontokbro.GHE Prevx1 Worm Sunbelt Email-Worm.Win32.Brontok.do VBA32 Email-Worm.Win32.Brontok.do Webwasher-Gateway Worm.Brontok.DO 相隔2天發現一個現象維持警報: Avira Worm/Brontok.DO Avast Win32:Trojan-gen {Other} Fortinet W32/Brontok.DO@mm Ikarus Email-Worm.Win32.Brontok.do Prevx1 Worm Webwasher-Gateway Worm.Brontok.DO 新增警報: Norman W32/Rontokbro.GHE Sunbelt Email-Worm.Win32.Brontok.do VBA32 Email-Worm.Win32.Brontok.do 取消警報: *F-Secure Email-Worm.Win32.Brontok.do *GData Email-Worm.Win32.Brontok.do *Kaspersky Email-Worm.Win32.Brontok.do ViRobot I-Worm.Win32.Brontok.163840 *採用卡巴斯基 AVP引擎的廠商已經不警報了而 GData Email-Worm.Win32.Brontok.do (AVP引擎改為不報) GData Win32:Trojan-gen (另一個Avast引擎警報!) 2天維持警報小紅傘...等誤報? 還是取消警報卡巴斯基...等 AVP引擎誤報? 又或者新增警報的Norman...等誤報? . .. ... .... ..... 真是有趣?! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: xiaoyao 來自: 140.130.189.41 (08/16 16:43)

推 aidasit:還真複雜，害我決定不了到底是該刪除還是繼續隔離= = 08/16 17:44

→ aidasit:PS.我小紅傘隔離那檔案，為啥我又可以在檔案總管看到它呢 08/16 17:45

推 junorn:windows檔案保護將檔案還原了 08/16 19:44

推 aidasit:那想問一下我隔離的檔案是要刪除還是要還原呢？ 08/16 20:01

推 junorn:就刪了吧。 08/16 20:02

→ junorn:不過那檔案看動作似乎也是正常...一樣等紅傘回報吧 08/16 20:03

→ junorn:不過現在是假日樣本寄過去之後完全沒下文...可能要下星期了 08/16 20:03

推 aidasit:慢慢等嚕，只希望有下文 08/16 20:25

推 XUFDRW5566:我刪了=_= 08/16 22:27