无忧启动论坛

标题: 请高手们分析下这个GRUB编辑器是否含有木马 [打印本页]

作者: 2010waitopen 时间: 2010-9-14 00:59
标题: 请高手们分析下这个GRUB编辑器是否含有木马
请高手们分析下这个GRUB编辑器是否含有木马.

好几款杀软分析出trojan/win2.sasfis.agsp木马.

(说明一下,二次编辑此贴是第一次忘记加附件了,附件也是本论坛U启板块里的.)

启动菜单.part1.rar

启动菜单.part2.rar

a-squared	5.0.0.19	20100912021051	2010-09-12	Trojan.Win32.Sasfis!IK	4.653
AntiVir	8.2.4.50	7.10.11.156	2010-09-13	TR/Sasfis.agsp	0.268
Arcavir	2009	201006281601	2010-06-28	-	0.005
Authentium	5.1.1	201009131012	2010-09-13	-	1.341
AVAST!	4.7.4	100913-0	2010-09-13	-	0.061
AVG	8.5.850	271.1.1/3132	2010-09-13	Generic18.BETW	1.770
BitDefender	7.90123.6374922	7.33860	2010-09-13	-	4.648
ClamAV	0.96.1	11896	2010-09-13	PUA.Packed.ASPack	0.029
Comodo	4.0	6067	2010-09-13	Heur.Packed.Unknown	1.362
CP Secure	1.3.0.5	2010.09.13	2010-09-13	Troj.W32.Sasfis.agsp	0.164
Dr.Web	5.0.2.3300	2010.09.13	2010-09-13	-	9.849
F-Prot	4.4.4.56	20100913	2010-09-13	-	1.384
F-Secure	7.02.73807	2010.09.13.03	2010-09-13	Trojan.Win32.Sasfis.agsp [AVP]	0.237
GData	21.833/21.329	20100913	2010-09-13	Trojan.Win32.Sasfis.agsp [Engine:A]	9.182
Ikarus	T3.1.32.15.0	2010.09.13.76719	2010-09-13	Trojan.Win32.Sasfis	4.742
Microsoft	1.6103	2010.09.11	2010-09-11	-	6.221
Norman	6.06.05	6.06.00	2010-09-13	-	16.029
nProtect	20100913.02	9100860	2010-09-13	-	24.760
Quick Heal	11.00	2010.09.13	2010-09-13	Backdoor.Idcagent.q	2.964
Sophos	3.11.2	4.57	2010-09-13	-	4.185
Sunbelt	3.9.2447.2	6867	2010-09-12	-	25.688
The Hacker	6.7.0.0	v00016	2010-09-12	-	1.467
VBA32	3.12.14.0	20100913.0838	2010-09-13	Trojan.Win32.Sasfis.agtm	3.916
ViRobot	20100911	2010.09.11	2010-09-11	-	0.378
VirusBuster	4.5.11.10	10.128.1/2043961	2010-09-13	-	12.314
卡巴斯基	5.5.10	2010.09.13	2010-09-13	Trojan.Win32.Sasfis.agsp	0.066
安博士V3	2010.09.13.01	2010.09.13	2010-09-13	-	2.267
安天	2.0.18	20100913.5147375	2010-09-13	-	0.122
江民杀毒	13.0.900	2010.08.30	2010-08-30	Trojan/Sasfis.hkm	1.823
熊猫卫士	9.05.01	2010.09.09	2010-09-09	-	3.733
瑞星	20.0	22.65.00.03	2010-09-13	-	3.310
赛门铁克	1.3.0.24	20100912.005	2010-09-12	-	0.208
趋势科技	9.120-1004	7.460.06	2010-09-13	-	0.000
迈克菲	5400.1158	6104	2010-09-12	-	22.190
金山毒霸	2009.2.5.15	2010.9.13.18	2010-09-13	-	2.248
飞塔	4.1.143	12.346	2010-09-13	-	0.560

[ 本帖最后由 2010waitopen 于 2010-9-14 01:02 编辑 ]

作者: 网虫2008 时间: 2010-9-14 05:50
晕，，你既然说带木马，，那附件还有谁敢下载呀，，，我是胆儿小。这木马做的越来越厉害，保不齐就会中招。

GRUB编辑器有很多这类小软，换一个吧，就别和你的这个疑似有木马的较劲了。

作者: neo4026 时间: 2010-9-14 07:24
似乎不是因为加壳而导致的误杀。

作者: pear4093 时间: 2010-9-14 07:58
你要考虑换一个同类软件不是误报

刚解压完就被卡巴2011删除了

[ 本帖最后由 pear4093 于 2010-9-14 08:06 编辑 ]

作者: lzy157 时间: 2010-9-14 08:48
杀软说是木马，但我一值用着，杀软再提示是木马，我就把杀软给关了，看你再招我。

作者: 2010羊羊 时间: 2010-9-14 10:39
我的小红伞一直开开关关,这点好,消灭时要用户同意.不然只屏蔽.不象有的杀软,没反应过来就被消灭了.

作者: zxw 时间: 2010-9-14 11:03
现在杀毒软件太垃圾，我早就不用……

作者: 依然饭特稀 时间: 2010-9-14 11:14
只是加个壳, 杀软列表有一半以上表示没事, 穷紧张什么

作者: xianglang 时间: 2010-9-14 11:49
以前在无忧论坛还是时空论坛下载的这个GRLDR_Editer（印象中好象是LIANGLIANG还是其他坛友做的），今年以前一直是不报的，但是今年起很多杀软都报了。不但是这一个报，论坛以前或者现在出的不少软件，也会报，比如JIANLIULIN的BCDTOOL等等也报了。

作者: 2010waitopen 时间: 2010-9-14 11:52
前两天给以朋友帮忙装了下驱动,插了U盘进去,提前他告诉我盘全格了的,刚装上系统,我也就没当回事.谁知道插进去后,发现鼠标闪了几下,不对劲,盘符中有文件夹名.exe,赶紧不管盘坏,就拔,已经迟了!可悲的是后面几天,插U盘上电脑,U盘灯就狂闪,里面就有antorun.inf,再就是回收站一类病毒,删还删不掉,开着监控,然后杀,江民杀完,毒霸木马专杀杀,后来以为清净了,但是有几天打开这个编辑器(在压缩包里),打开后又闪.就这样折腾了好多次,木马专杀杀了我N多极其重要的文件,而且是发现就杀,没有选择余地.但是即使杀完了,我用几次又来病毒了,因为那几天就只用这个编辑器,所以怀疑了下,传到virscan上查了下,显示的就是上面结果.后来用大蜘蛛查杀(压缩也查杀),靠(说这个字是真太气了),发现还有不少压缩包被感染了,这次中的是Qovd.c变种,我只想杀了作者全家,太多的重要文件啊,而且我就奇怪了,TMD怎么就只感染我的重要文件!!!

两个U盘都中标了,所以我现在每见一个文件都不放过,哪怕少点方便,也不敢自己带个毒窝.

对了,各位介绍个编辑器,和这个功能一样就行,谢谢了!同时提醒大家千万别乱"插"哈,小心得"病"!!哈哈哈^

作者: 8413024 时间: 2010-9-14 12:37
杀软,真的不好说.病毒又要几秒钟,你就得折腾至少大半天甚至几天,但愿别中彩.

作者: lxl1638 时间: 2010-9-14 13:15
杀软报还报，关键是看工具的行为动作：
1、工具有没有链接网络，盗号盗资料非链接网络不可，否则它拿不到资料；
2、工具有没有改写你没有指定的文件和注册表，有没有给你下载、释放文件；
3、工具有没有改写硬盘分区表、MBR等。

如果没有这类行为动作，就算杀软报也可放心去用。

[ 本帖最后由 lxl1638 于 2010-9-14 13:17 编辑 ]

作者: 2010waitopen 时间: 2010-9-17 17:43
请问 lxl1638,你平时用什么东西来判断工具的行为呢?能不能分享一点,嘿嘿

作者: woshi_1001 时间: 2010-9-18 09:38
我电脑上从来不装什么破杀软，照样一直在用，也没有看见系统会挂掉。（^_^）我T 妈的还原精灵装上，总没有狗来穿我这破机器吧！

[ 本帖最后由 woshi_1001 于 2010-9-18 09:46 编辑 ]

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)