电脑里安装QQ电脑管家本来只是为了QQ等级加速,今天偶然试了一下这位管家的查杀木马功能。结果有点雷人:
01-QQ电脑管家4.5(2011-02-26)木马扫描结果
用FileInfo提取文件信息:
文件说明符 : D:/■■■■■■■/数据恢复/EasyRecovery/EasyRecovery.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00.27.51
说明 : EasyRecovery
版权 : 版权所有 (c) 2001-2002 Ontrack Data Recovery Inc.
产品版本 : 6.10.07
产品名称 : ONTRACK EasyRecovery Professional
公司名称 : Ontrack Data Recovery Inc.
合法商标 : EasyRecovery Professional 是 Ontrack Data Recovery Inc. 的商标
内部名称 : EasyRecovery
源文件名 : EasyRecovery.exe
创建时间 : 2009-6-30 17:36:21
修改时间 : 2009-2-26 20:57:34
大小 : 198144 字节 193.512 KB
MD5 : d17a1eb904ba666bc82949f21113d721
SHA1: 44C909E29A1288AF1D07C13DD7B5BC308E01620D
CRC32: a1a82498
文件说明符 : C:/Program Files/Lenovo/隐藏分区管理/sysdll/RebootSystem1.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2006-4-3 15:10:28
修改时间 : 2004-11-2 11:9:10
大小 : 172116 字节 168.84 KB
MD5 : 076bff16a7500e14d9855c832ac5429b
SHA1: AAA4DFA684A69175F2CD4891AB619971CBF29A4B
CRC32: 64d95dae
文件说明符 : C:/WINDOWS/system32/drivers/lnrmjrri.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:37:44
修改时间 : 2010-9-23 9:37:46
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5
文件说明符 : C:/WINDOWS/system32/drivers/hcrnfnqo.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:3:30
修改时间 : 2010-9-23 9:3:32
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5
文件说明符 : C:/WINDOWS/system32/drivers/nsuoktre.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:3:1
修改时间 : 2010-9-23 9:3:2
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5
文件说明符 : C:/WINDOWS/system32/drivers/ugijuors.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:2:39
修改时间 : 2010-9-23 9:4:38
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5
文件说明符 : C:/WINDOWS/system32/drivers/rtsdjcbu.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:2:2
修改时间 : 2010-9-23 9:5:38
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5
头两个明显是误报,后面5个sys文件的内容居然是完全相同的。
对5个sys文件按文件名google,只有rtsdjcbu.sys 可以google到:
【跟进中】[Rootkit病毒]Win32/Small.NMC - 木马查杀- 360论坛
http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&biw=874&bih=645&q=rtsdjcbu.sys&aq=f&aqi=&aql=&oq=
按md5值则google到:
http://www.google.com.hk/url?sa=t&source=web&cd=1&ved=0CBkQFjAA&url=http%3A%2F%2Fwww.sophos.com%2Fsecurity%2Fanalyses%2Fviruses-and-spyware%2Ftrojmsvloga.html%3F_log_from%3Drss&ei=1RWgTdfSOIiecJGy5ecB&usg=AFQjCNEI2_O21HVr-rts_mbqpJf2fcI_UA
即
http://www.sophos.com/security/analyses/viruses-and-spyware/trojmsvloga.html?_log_from=rss
02-google到sophos网站的相关信息
把ugijuors.sys上传到http://virusscan.jotti.org/在线扫描结果如下:
03-ugijuors.sys在线扫描结果
把RebootSystem1.exe上传到http://virusscan.jotti.org/在线扫描结果如下:
04-RebootSystem1.exe在线扫描结果
国外杀毒软件不认识Lenovo的东东?
把EasyRecovery.exe上传到http://virusscan.jotti.org/在线扫描结果如下:
05-EasyRecovery.exe在线扫描结果
把QQ电脑管家升级到最新版本,居然还是4.5,4.6正式版本都出来了罢?
再指定对C:/WINDOWS/system32/drivers、C:/Program Files/Lenovo/隐藏分区管理、D:/■■■■■■■/数据恢复/EasyRecovery三个文件夹进行扫描:
06-QQ电脑管家4.5(2011-04-09)木马扫描结果
误报依旧。
轮到金山卫士登场了。
把金山卫士升级到最新版本,然后指定对C:/WINDOWS/system32/drivers、C:/Program Files/Lenovo/隐藏分区管理、D:/■■■■■■■/数据恢复/EasyRecovery三个文件夹进行扫描:
07-金山卫士扫描结果时间,扫描结果提示信息框有点多余
08-金山卫士扫描结果,显示的信息要比QQ管家详细
结果金山卫士也误报了一个。
先把C:/Program Files/Lenovo/隐藏分区管理/sysdll/RebootSystem1.exe加入白名单,然后把5个sys文件改名,然后再用金山卫士处理,结果如下:
09-金山卫士处理结果
金山卫士虽然找不到5个sys文件,仍然报告6个威胁全部处理,但在关闭金山卫士时却提示“还有异常未处理”?
不论扫描速度,扫描结果,还是扫描报告的内容,金山卫士都要略胜QQ电脑管家一筹。