查殺木馬 QQ電腦管家 vs. 金山衛士

　　電腦裡安裝QQ電腦管家本來只是為了QQ等級加速，今天偶然試了一下這位管家的查殺木馬功能。結果有點雷人：

 

 

01-QQ電腦管家4.5(2011-02-26)木馬掃描結果

　　用FileInfo提取檔案資訊：

 

檔案說明符 : D:/■■■■■■■/資料恢複/EasyRecovery/EasyRecovery.exe
屬性 : A---
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 1.00.27.51
說明 : EasyRecovery
著作權 : 著作權 (c) 2001-2002 Ontrack Data Recovery Inc.
產品版本 : 6.10.07
產品名稱 : ONTRACK EasyRecovery Professional
公司名稱 : Ontrack Data Recovery Inc.
合法商標 : EasyRecovery Professional 是 Ontrack Data Recovery Inc. 的商標
內部名稱 : EasyRecovery
源檔案名稱 : EasyRecovery.exe
建立時間 : 2009-6-30 17:36:21
修改時間 : 2009-2-26 20:57:34
大小 : 198144 位元組 193.512 KB
MD5 : d17a1eb904ba666bc82949f21113d721
SHA1: 44C909E29A1288AF1D07C13DD7B5BC308E01620D
CRC32: a1a82498

 

檔案說明符 : C:/Program Files/Lenovo/隱藏式磁碟分割管理/sysdll/RebootSystem1.exe
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2006-4-3 15:10:28
修改時間 : 2004-11-2 11:9:10
大小 : 172116 位元組 168.84 KB
MD5 : 076bff16a7500e14d9855c832ac5429b
SHA1: AAA4DFA684A69175F2CD4891AB619971CBF29A4B
CRC32: 64d95dae

檔案說明符 : C:/WINDOWS/system32/drivers/lnrmjrri.sys
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-23 9:37:44
修改時間 : 2010-9-23 9:37:46
大小 : 29184 位元組 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

檔案說明符 : C:/WINDOWS/system32/drivers/hcrnfnqo.sys
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-23 9:3:30
修改時間 : 2010-9-23 9:3:32
大小 : 29184 位元組 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

 

檔案說明符 : C:/WINDOWS/system32/drivers/nsuoktre.sys
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-23 9:3:1
修改時間 : 2010-9-23 9:3:2
大小 : 29184 位元組 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

檔案說明符 : C:/WINDOWS/system32/drivers/ugijuors.sys
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-23 9:2:39
修改時間 : 2010-9-23 9:4:38
大小 : 29184 位元組 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

檔案說明符 : C:/WINDOWS/system32/drivers/rtsdjcbu.sys
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-23 9:2:2
修改時間 : 2010-9-23 9:5:38
大小 : 29184 位元組 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

 

　　頭兩個明顯是誤判，後面5個sys檔案的內容居然是完全相同的。

　　對5個sys檔案按檔案名稱google，只有rtsdjcbu.sys 可以google到：

 

【跟進中】[Rootkit病毒]Win32/Small.NMC - 木馬查殺- 360論壇
http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&biw=874&bih=645&q=rtsdjcbu.sys&aq=f&aqi=&aql=&oq=

 

　　按md5值則google到：
http://www.google.com.hk/url?sa=t&source=web&cd=1&ved=0CBkQFjAA&url=http%3A%2F%2Fwww.sophos.com%2Fsecurity%2Fanalyses%2Fviruses-and-spyware%2Ftrojmsvloga.html%3F_log_from%3Drss&ei=1RWgTdfSOIiecJGy5ecB&usg=AFQjCNEI2_O21HVr-rts_mbqpJf2fcI_UA
即
http://www.sophos.com/security/analyses/viruses-and-spyware/trojmsvloga.html?_log_from=rss

 

02-google到sophos網站的相關資訊

 

　　把ugijuors.sys上傳到http://virusscan.jotti.org/線上掃描結果如下：

03-ugijuors.sys線上掃描結果

 

　　把RebootSystem1.exe上傳到http://virusscan.jotti.org/線上掃描結果如下：

04-RebootSystem1.exe線上掃描結果

 

國外殺毒軟體不認識Lenovo的東東？

 

　　把EasyRecovery.exe上傳到http://virusscan.jotti.org/線上掃描結果如下：

05-EasyRecovery.exe線上掃描結果

 

　　把QQ電腦管家升級到最新版本，居然還是4.5，4.6正式版本都出來了罷？

 

　　再指定對C:/WINDOWS/system32/drivers、C:/Program Files/Lenovo/隱藏式磁碟分割管理、D:/■■■■■■■/資料恢複/EasyRecovery三個檔案夾進行掃描：

06-QQ電腦管家4.5(2011-04-09)木馬掃描結果

 

　　誤判依舊。

 

　　輪到金山衛士登場了。

 

　　把金山衛士升級到最新版本，然後指定對C:/WINDOWS/system32/drivers、C:/Program Files/Lenovo/隱藏式磁碟分割管理、D:/■■■■■■■/資料恢複/EasyRecovery三個檔案夾進行掃描：

07-金山衛士掃描結果時間，掃描結果提示資訊框有點多餘

 

08-金山衛士掃描結果，顯示的資訊要比QQ管家詳細

 

　　結果金山衛士也誤判了一個。

　　先把C:/Program Files/Lenovo/隱藏式磁碟分割管理/sysdll/RebootSystem1.exe加入白名單，然後把5個sys檔案改名，然後再用金山衛士處理，結果如下：

 

09-金山衛士處理結果

 

　　金山衛士雖然找不到5個sys檔案，仍然報告6個威脅全部處理，但在關閉金山衛士時卻提示“還有異常未處理”？

　　不論掃描速度，掃描結果，還是掃描報告的內容，金山衛士都要略勝QQ電腦管家一籌。