Re: [討論] W32/Malware!Gemini 這啥鬼啊?

看板AntiVirus (防毒)作者tedcat (動靜:MSN暱稱為主)時間16年前 (2010/05/29 21:54)推噓0(0推 0噓 1→)

留言1則, 1人參與討論串2/2 (看更多)

: 做全機掃描(含安全模式), 都說我系統是乾淨的. 安裝完PureMSN與完美解碼後, 也說我 : 系統是乾淨的, 可是用F-secure線上掃毒時, 會發現msnpp.exe跟purecodec.exe中標: : Suspicious:W32/Malware!Gemini <--這啥鬼? 都辜狗不出名堂來! : http://www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml : 我做了幾個交叉測試: 發現剛安裝PureMSN與完美解碼後立刻F-secure掃毒, 是乾淨的; : 但是重開機或用一會兒電腦後, msnpp.exe跟purecodec.exe就會中標, 我電腦設定 : 開機時是不要啟動MSN的, 但是就算不使用這兩支程式, 這個叫做Gemini的鬼東西還是 : 會感染msnpp.exe跟purecodec.exe. 用我朋友的電腦交叉測試, 發現它還會感染 : 對岸常用的QQ2010測試版(也不需執行QQ), 看來Gemini是會傳染, 不知還會幹麼. : 因為小紅傘抓不到它, 我現在把小紅傘移除, 改裝F-secure 2011測試版看看 : (F-Secure Internet Security Technology Preview (ISTP)), 有改善的話再跟 : 大家報告. : 有沒有人也碰過這隻Gemini木馬/病毒的? 謝謝賜教! 一般來說這個毒表示可能會幫你送一些廣告資訊進來.... 比較像是廣告軟體,你可以看看你在執行這兩個程式的時候程式有沒有跑廣告出來. 另外,可以把這兩程式送去網站上作回報分析(但是不一定準) http://analysis.f-secure.com/ 或是把程式寄給翔偉客服(台灣f-secure代理商) (我比較喜歡送客服) 我選後者的原因是,我曾遇過某個被我電腦的f-secure辨識為backdoor.tofsee.j的毒. (自動掃描+deep guard作用)有擋住但是沒辦法完全殺掉但是詭異的來了..... 1.手動掃毒時好時壞(有時抓到有時沒). 2.f-secure的線上分析沒有抓到 3.送去virustotal沒一個抓到, 4.email作為附檔上傳時(yahoo web mail有trend掃描有辨識到) 5.換其他家軟體只有gdata的引擎a掃到持續與翔偉客服,f-secure溝通寄送相關程式資訊... 終於在某個版本病毒碼(嗯過了兩三個禮拜..)後最後f-secure成功的清除病毒了.. 同時再把這個檔案送去virustotal分析.... 嗯....90%全都判定為病毒了.... -- 歡迎參觀我的相簿 http://www.pixnet.net/tedcat -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.210.41.244 ※ 編輯: tedcat 來自: 218.210.41.244 (05/29 21:55)