查杀木马 QQ电脑管家 vs. 金山卫士

　　电脑里安装QQ电脑管家本来只是为了QQ等级加速，今天偶然试了一下这位管家的查杀木马功能。结果有点雷人：

 

 

01-QQ电脑管家4.5(2011-02-26)木马扫描结果

　　用FileInfo提取文件信息：

 

文件说明符 : D:/■■■■■■■/数据恢复/EasyRecovery/EasyRecovery.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00.27.51
说明 : EasyRecovery
版权 : 版权所有 (c) 2001-2002 Ontrack Data Recovery Inc.
产品版本 : 6.10.07
产品名称 : ONTRACK EasyRecovery Professional
公司名称 : Ontrack Data Recovery Inc.
合法商标 : EasyRecovery Professional 是 Ontrack Data Recovery Inc. 的商标
内部名称 : EasyRecovery
源文件名 : EasyRecovery.exe
创建时间 : 2009-6-30 17:36:21
修改时间 : 2009-2-26 20:57:34
大小 : 198144 字节 193.512 KB
MD5 : d17a1eb904ba666bc82949f21113d721
SHA1: 44C909E29A1288AF1D07C13DD7B5BC308E01620D
CRC32: a1a82498

 

文件说明符 : C:/Program Files/Lenovo/隐藏分区管理/sysdll/RebootSystem1.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2006-4-3 15:10:28
修改时间 : 2004-11-2 11:9:10
大小 : 172116 字节 168.84 KB
MD5 : 076bff16a7500e14d9855c832ac5429b
SHA1: AAA4DFA684A69175F2CD4891AB619971CBF29A4B
CRC32: 64d95dae

文件说明符 : C:/WINDOWS/system32/drivers/lnrmjrri.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:37:44
修改时间 : 2010-9-23 9:37:46
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

文件说明符 : C:/WINDOWS/system32/drivers/hcrnfnqo.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:3:30
修改时间 : 2010-9-23 9:3:32
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

 

文件说明符 : C:/WINDOWS/system32/drivers/nsuoktre.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:3:1
修改时间 : 2010-9-23 9:3:2
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

文件说明符 : C:/WINDOWS/system32/drivers/ugijuors.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:2:39
修改时间 : 2010-9-23 9:4:38
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

文件说明符 : C:/WINDOWS/system32/drivers/rtsdjcbu.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-23 9:2:2
修改时间 : 2010-9-23 9:5:38
大小 : 29184 字节 28.512 KB
MD5 : 405ffd5b45d7fea1fd97086e8d33c585
SHA1: C602A4AF880A99A07FE3DA52BB70E226902DABCA
CRC32: fd9468d5

 

　　头两个明显是误报，后面5个sys文件的内容居然是完全相同的。

　　对5个sys文件按文件名google，只有rtsdjcbu.sys 可以google到：

 

【跟进中】[Rootkit病毒]Win32/Small.NMC - 木马查杀- 360论坛
http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&biw=874&bih=645&q=rtsdjcbu.sys&aq=f&aqi=&aql=&oq=

 

　　按md5值则google到：
http://www.google.com.hk/url?sa=t&source=web&cd=1&ved=0CBkQFjAA&url=http%3A%2F%2Fwww.sophos.com%2Fsecurity%2Fanalyses%2Fviruses-and-spyware%2Ftrojmsvloga.html%3F_log_from%3Drss&ei=1RWgTdfSOIiecJGy5ecB&usg=AFQjCNEI2_O21HVr-rts_mbqpJf2fcI_UA
即
http://www.sophos.com/security/analyses/viruses-and-spyware/trojmsvloga.html?_log_from=rss

 

02-google到sophos网站的相关信息

 

　　把ugijuors.sys上传到http://virusscan.jotti.org/在线扫描结果如下：

03-ugijuors.sys在线扫描结果

 

　　把RebootSystem1.exe上传到http://virusscan.jotti.org/在线扫描结果如下：

04-RebootSystem1.exe在线扫描结果

 

国外杀毒软件不认识Lenovo的东东？

 

　　把EasyRecovery.exe上传到http://virusscan.jotti.org/在线扫描结果如下：

05-EasyRecovery.exe在线扫描结果

 

　　把QQ电脑管家升级到最新版本，居然还是4.5，4.6正式版本都出来了罢？

 

　　再指定对C:/WINDOWS/system32/drivers、C:/Program Files/Lenovo/隐藏分区管理、D:/■■■■■■■/数据恢复/EasyRecovery三个文件夹进行扫描：

06-QQ电脑管家4.5(2011-04-09)木马扫描结果

 

　　误报依旧。

 

　　轮到金山卫士登场了。

 

　　把金山卫士升级到最新版本，然后指定对C:/WINDOWS/system32/drivers、C:/Program Files/Lenovo/隐藏分区管理、D:/■■■■■■■/数据恢复/EasyRecovery三个文件夹进行扫描：

07-金山卫士扫描结果时间，扫描结果提示信息框有点多余

 

08-金山卫士扫描结果，显示的信息要比QQ管家详细

 

　　结果金山卫士也误报了一个。

　　先把C:/Program Files/Lenovo/隐藏分区管理/sysdll/RebootSystem1.exe加入白名单，然后把5个sys文件改名，然后再用金山卫士处理，结果如下：

 

09-金山卫士处理结果

 

　　金山卫士虽然找不到5个sys文件，仍然报告6个威胁全部处理，但在关闭金山卫士时却提示“还有异常未处理”？

　　不论扫描速度，扫描结果，还是扫描报告的内容，金山卫士都要略胜QQ电脑管家一筹。