分析 吾爱万能下载地址转换器

ayus

吾爱万能下载地址转换器  帖子地址
http://wt.52pojie.cn/viewthread.php?tid=58203


看到论坛的 “原创精英”发布了一个软件，有木马嫌疑。

特此分析

1.首先下载这款.吾爱万能下载地址转换器

下载报毒，先忽略，然后解压。

直接运行，程序打开，加载驱动


驱动创建C:\WINDOWS\SYSTEM32\svkp.sys

【注意：此驱动目前免杀金山卫士，金山卫士提示安全】

驱动相关信息：SVKP.sys-SVKP.sys -进程信息
　　进程文件：SVKP 或者 SVKP.sys

　　进程名称：W32/Spybot-FB

　　描述：

　　该病毒创建SVKP系统服务实现SVKP.sys自启动，也可能创建Program Files 系统服务实现RealPlayer.exe自启动，也可能创建Windows Login系统服务实现login.exe自启动，也可能同时修改注册表创建系统服务Vista 等实现Ha.com等病毒进程自启动，病毒还可能修改系统文件system.ini[boot]shell＝Explorer.exe【C:\WINDOWS\system32\Explorer.exe】实现自启动。病毒运行后开启后门连接某IRC服务器，为恶意攻击者提供远程控制。

　　进程位置: 系统

　　程序用途: p2p蠕虫病毒，IRC后门木马，远程控制。

　　出品者： 未知n/a

　　属于： 未知n/a

　　系统进程：否

　　后台程序：是

　　使用网络：否

　　硬件相关：否

　　常见错误：未知n/a

　　内存使用：未知n/a

　　安全等级(0-5): 未知(0无危险，5最危险)

　　间谍软件：是

　　广告软件：是

　　病毒：是

　　木马： 是
同时  病毒创建插件文件C:\PROGRA~1\SNAV\SNAV.DLL

病毒名称 Win32.Troj.Snav.wj

杀毒检测为DNF盗号木马

  
防范对策：金山卫士清理插件，删除驱动文件，上报管理员速度删除附件防止损失，检查游戏帐号。

哦忘记上传附件、、解压码52pojie


吾爱万能下载地址转换器.rar (1.43 MB, 下载次数: 139)

2010-8-18 19:57 上传

点击文件名下载附件

ps:有朋友说是误报，不过可以淡定的想一下， 一款地址转换软件，和加载驱动有关系么，还是”原创精英“发的，希望有个解释。

12楼给出分析结果了,金山误报

52013143

这个我没下载过  不发言

kanglehao

杀毒软件误报吧 不做品论 我也不知道 反正我没下

329074990bob

哎
幸好没打开。。

yangreed

我也没下，等待管理给意见

s3233431

我也下了。。怎么办 - -#

qq3377588

现在的很多杀毒软件，真正的毒杀不了 误报确一大堆

dutyzqly

没下，也不想用了。。。

lovemxdchen

看了以后就点都不敢点了..