作者xiaoyao (改變)
看板AntiVirus
標題Re: [中毒] 用小紅傘掃瞄時發現WORM/Brontok.DO
時間Sat Aug 16 15:41:19 2008
※ 引述《aidasit (咩咩)》之銘言:
: 今天用小紅傘作例行性掃瞄時,發現在這個檔案中
: (C:\WINNT\PCHealth\HelpCtr\Binaries\msconfig.exe)
: 似乎感染了 WORM/Brontok.DO 這病毒
: 不清楚是小紅傘誤判呢?還是真被感染了?
: 4.報告連結:
: 請將掃描報告(log)貼於下方 (上面的全要)
: Combofix :http://kotuha.com/file/DizJF-ComboFix.html
: Hijackthis:http://kotuha.com/file/CB4MB-hijackthis.html
: SRENG :http://kotuha.com/file/qP0Xz-SREngLOG.html
: 掃毒報告 :
: http://kotuha.com/file/WKWjd-AVSCAN-20080816-122524-3D791D04.html
: 麻煩各位幫忙處理了m(_ _)m
2008.08.14 05:04:43
http://www.virustotal.com/analisis/8404921a91ea4f3d7b02207131e3db07
當時有10家 AntiVirus 發現可疑威脅
分別是:
Avira Worm/Brontok.DO
Avast Win32:Trojan-gen {Other}
F-Secure Email-Worm.Win32.Brontok.do
Fortinet W32/Brontok.DO@mm
GData Email-Worm.Win32.Brontok.do
Ikarus Email-Worm.Win32.Brontok.do
Kaspersky Email-Worm.Win32.Brontok.do
Prevx1 Worm
ViRobot I-Worm.Win32.Brontok.163840
Webwasher-Gateway Worm.Brontok.DO
剛剛將您提供的樣本以msconfig test.rar 上傳分析
2008.08.16 08:49:02
http://www.virustotal.com/zh-tw/analisis/c12558d1b3fa84b3d31d12a5c39fbaee
目前有10家 AntiVirus 發現可疑威脅
分別是:
Avira Worm/Brontok.DO
Avast Win32:Trojan-gen {Other}
Fortinet W32/Brontok.DO@mm
GData Win32:Trojan-gen
Ikarus Email-Worm.Win32.Brontok.do
Norman W32/Rontokbro.GHE
Prevx1 Worm
Sunbelt Email-Worm.Win32.Brontok.do
VBA32 Email-Worm.Win32.Brontok.do
Webwasher-Gateway Worm.Brontok.DO
相隔2天發現一個現象
維持警報:
Avira Worm/Brontok.DO
Avast Win32:Trojan-gen {Other}
Fortinet W32/Brontok.DO@mm
Ikarus Email-Worm.Win32.Brontok.do
Prevx1 Worm
Webwasher-Gateway Worm.Brontok.DO
新增警報:
Norman W32/Rontokbro.GHE
Sunbelt Email-Worm.Win32.Brontok.do
VBA32 Email-Worm.Win32.Brontok.do
取消警報:
*F-Secure Email-Worm.Win32.Brontok.do
*GData Email-Worm.Win32.Brontok.do
*Kaspersky Email-Worm.Win32.Brontok.do
ViRobot I-Worm.Win32.Brontok.163840
*採用卡巴斯基 AVP引擎的廠商 已經不警報了
而 GData Email-Worm.Win32.Brontok.do (AVP引擎 改為不報)
GData Win32:Trojan-gen (另一個Avast引擎 警報!)
2天維持警報 小紅傘...等 誤報?
還是 取消警報 卡巴斯基...等 AVP引擎 誤報?
又或者 新增警報的Norman...等 誤報?
.
..
...
....
.....
真是有趣?!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 編輯: xiaoyao 來自: 140.130.189.41 (08/16 16:43)
推 aidasit:還真複雜,害我決定不了到底是該刪除還是繼續隔離= = 08/16 17:44
→ aidasit:PS.我小紅傘隔離那檔案,為啥我又可以在檔案總管看到它呢 08/16 17:45
推 junorn:windows檔案保護將檔案還原了 08/16 19:44
推 aidasit:那想問一下我隔離的檔案是要刪除還是要還原呢? 08/16 20:01
推 junorn:就刪了吧。 08/16 20:02
→ junorn:不過那檔案看動作似乎也是正常...一樣等紅傘回報吧 08/16 20:03
→ junorn:不過現在是假日樣本寄過去之後完全沒下文...可能要下星期了 08/16 20:03
推 aidasit:慢慢等嚕,只希望有下文 08/16 20:25
推 XUFDRW5566:我刪了=_= 08/16 22:27